Luettelo yleisistä virheistä UST:n suorittamisen aikana ja vihjeitä niiden ratkaisemiseksi
FileNotFoundError: [Errno 2]
Esimerkki konsolin virheilmoituksesta:
FileNotFoundError: [Errno 2] Tiedostoa tai hakemistoa ei löydy: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'
Voidaan näyttää Windowsissa, jos polkujen pituus on yli 256 merkkiä.
Vihje: Luo ympäristömuuttuja PEX_ROOT, jonka arvo on C:\pex (jos komentosarja suoritetaan C:-asemalta; muutoin vaihda kirjainta aseman mukaan). Toisinaan järjestelmä on käynnistettävä uudelleen, jotta muutos tulee voimaan.
can't open file 'user-sync.pex': [Errno 2]
Esimerkki virheilmoituksesta:
python: tiedostoa 'user-sync.pex' ei voi avata: [Errno 2] Tiedostoa tai hakemistoa ei löydy
Vihje: Varmista, että suoritat python-komentorivin siitä kansiosta, jossa user-sync.pex sijaitsee.
Esimerkki lokin virheilmoituksesta:
2018-01-01 11:49:42 28102 WARNING umapi - UMAPI timeout...service unavailable (code 429 on try 1)
2018-01-01 11:49:42 28102 WARNING umapi - Next retry in 42 seconds...
Vihje: Jos aikakatkaisu on alle 30 minuuttia, nämä varoitusviestit saadaan, kun minuutin aikana tehtävien API-kutsujen kiintiö on saavutettu. UST:n ominaisuuksiin sisältyy mekanismi, joka yrittää kutsua uudelleen eksponentiaalisesti vähenevällä tiheydellä. Komentosarja pysähtyy kolmen epäonnistuneen yrityksen jälkeen.
Suosittelemme, että annat komentosarjan suoriutua loppuun asti.
Jos aikakatkaisu on yli 1000 sekuntia, kyseessä on todennäköisesti kunkin User Sync Tool -instanssin suoritustaajuuteen liittyvä rajoitus.Jos instanssin havaitaan suorittuvan liian usein, sitä rajoitetaan 30-75 minuutin ajan.Vaikka aikakatkaisu vain keskeyttää UST:n hetkeksi (eli kyseessä ei ole kriittinen pysäytysvirhe), UST osaa palautua ja jatkaa synkronointia heti sen jälkeen.
Koska komentosarja tunnistaa, kun kaksi instanssia käynnistetään samanaikaisesti, uutta instanssia ei voi käynnistää ennen kuin ensimmäinen on suoritettu loppuun.Tässä tapauksessa UST-lokissa saattaa näkyä virheilmoitus, jossa tilanteeseen viitataan viestillä 'prosessi on jo käynnissä'.
Tässä joitakin suosituksia parhaan suorituskyvyn saavuttamiseksi suoritustaajuuden suhteen:
- tarkista ajastetun tehtävän toistotaajuus ja varmista, että se on asetettu toistumaan vähintään 2 tunnin välein
- tarkista ajastetun tehtävän käynnistysaika niin, ettei se ala tasatunnein tai puolelta (vältä ruuhka-aikoja)
- jos työkalua on tarpeen suorittaa useammin, harkitse UST:n käyttöä push-strategialla (muutosten delta) täyden synkronoinnin sijaan
- mukauta UST:n suoritusaikataulu organisaatiosi työpäivään, jolloin käyttäjät tarvitsevat käyttöoikeuksia (esim. jos organisaatiollasi ei ole tarvetta muokata käyttäjien käyttöoikeuksia yöllä, älä suorita synkronointitehtäviä tänä aikana)
error.user.belongs_to_another_org
Esimerkki lokimerkinnästä:
2018-01-01 11:49:42 28102 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Command: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): code: "error.user.belongs_to_another_org" message: "Illegal to invite user from another organization's owned auth src"
Vinkki: Tilin luomiseen käytetty verkkotunnus ei välttämättä ole organisaatioidesi varaama tai luottama.Aktiivisten verkkotunnusten kohdalla pitäisi näkyä vihreä lippu tai piste kohdassa Admin Console -> Settings (Asetukset). Jos näin ei ole, verkkotunnuksen varausprosessin viimeisteleminen voi ratkaista asian.
Esimerkki lokimerkinnästä:
2018-01-01 12:34:23 13383 ERROR umapi.action - Error in requestID: action_6 (User: {'user': ‘user@domain.com’, 'requestID': 'action_6'}, Command: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': ‘US’}}): code: "error.user.type_mismatch" message: "The user type requested for the invite does not match the claimed domain type"
Vihje: Yritetään luoda federatedID-tyyppinen tili, mutta hakemisto luodaan yrityskäyttöön tai päinvastoin.Etsi attribuuttia user_identity_type tiedostosta user-sync-config.yml. Muokkaa arvoa Admin Consolessa näkyvän hakemistotyypin mukaan (annetun verkkotunnuksen Settings (Asetukset) > Identity (Identiteetti) > Domains (Verkkotunnukset) > Directory type (Hakemistotyyppi) -arvo).
Esimerkki konsolin virheilmoituksesta:
PEX-tiedoston suoritus epäonnistui, yhteensopivat riippuvuudet puuttuvat:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync
Vihjeitä:
a) Tarkista, onko järjestelmään asennettu Python-versio 32-bittinen. Ratkaise ongelma poistamalla 32-bittinen asennus ja asentamalla 64-bittinen versio.
b) Tarkista, vastaako GitHubista lataamasi user-sync.pex-versio Python-versiotasi ja käyttöjärjestelmäsi tyyppiä. Esimerkiksi user-sync-v2.3-win64-py365.zip on oikea lataus 64-bittiselle Windowsille ja Python 3:lle.
Uusimman Python-version käyttö ei ole aina hyvä idea. On suositeltavaa käyttää sitä Python-versiota, jolla .pex koottiin. Ladatun .zip-tiedoston loppuliite kertoo, mikä Python-versio toimii parhaiten. Yllä annetussa esimerkissä (user-sync-v2.3-win64-py365.zip) loppuliite viittaa versioon Python 3.6.5.
Error decrypting private key
Esimerkki lokimerkinnästä:
2018-01-01 09:52:23 7920 DEBUG umapi - umapi: reading private key data from file C:\path\to\private.key
2018-01-01 09:52:23 7920 CRITICAL main - umapi configuration.enterprise: Error decrypting private key, either the password is wrong or: RSA key format is not supported
Vihjeitä:
a) jos ongelmaa ei voida nopeasti tunnistaa, on nopeampaa luoda avainpari uudelleen
b) Älä käytä attribuuttia umapi_private_key_data, jos suoritat komentosarjaa Windowsissa. Salaa sen sijaan avain ja tallenna salasana tunnistetietojen hallintasovellukseen.
c) Kokeile 2 048-bittistä yksityistä RSA256-avainta, jos käytit eri muotoa avainparin luomiseen
d) On mahdollista määrittää secure_priv_key_pass_key: umapi_private_key_passphrase connector-umapi.yml-tiedostossa. Varmista tällöin, että tunnistetietosäilön tätä koskeva merkintä ja siihen liittyvät arvot vastaavat toisiaan (katso alla).
No value in secure storage for user...
Esimerkki lokimerkinnästä:
2018-01-01 09:52:23 7920 CRITICAL main - umapi CRITICAL main - umapi configuration.enterprise: No value in secure storage for user "someUUIDvalue@AdobeOrg", key "umapi_api_key"
Vihjeitä:
a) Tunnistetietosäilöstä voi puuttua umapi_api_key-arvo. Luo tunnistetietosäilöön merkintä. Ohjeet tähän on täällä.
b) Voi olla, että arvo on lisätty tunnistetietosäilöön eri käyttäjätiliä käyttäen. Tällä hetkellä kirjautuneen käyttäjän kohdalta tämä merkintä kuitenkin puuttuu. Lisää se tarvittaessa tai vaihda käyttäjätiliä.
error.internal.exceptionflys / error.unauthorized
Esimerkki virheilmoituksesta:
umapi_client.error.RequestError: Pyyntövirhe (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Tunnuksen vaihto epäonnistui"}
TAI
"umapi_client.error.RequestError: Pyyntövirhe (401): {"lastPage":false,"result":"error.unauthorized","message":"Annetun tunnuksen todennus epäonnistui"}"
Vihje: Voi olla, että kohdassa Admin Console -> Settings (Asetukset) -> Authentication Settings (Todennusasetukset) on valittu muu asetus kuin Easiest for Users (Käyttäjille helpoin) (salasana ei vanhene koskaan). Jos More Secure (Turvallisempi)- tai Most Secure (Turvallisin) -asetus on valittu, integrointiin liitetyn teknisen tilin salasana voi vanhentua.
Ongelman ratkaisemiseksi on luotava uusi integrointi. Tarkista, että myös connector-umapi.yml-tiedoston metatiedot uusitaan.
Tätä varten otettiin käyttöön korjaus, mutta ongelma voi vaikuttaa ennen lokakuuta 2018 luotuihin integrointeihin.
Failed to establish a new connection [Errno 10061]
Esimerkki virheilmoituksesta:
ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Yritysten enimmäismäärä ylitetty URL-osoitteella: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Syynä NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Uuden yhteyden muodostaminen epäonnistui: [Errno 10061] Yhteyttä ei voitu muodostaa, koska kohdekone hylkäsi sen aktiivisesti',))
Vihje:
Virhe liittyy siihen, että UST ei pysty muodostamaan yhteyttä julkisiin API-päätepisteisiin. Paikalliset asetukset voivat estää käytön esimerkiksi palomuurisääntöjen, välityspalvelimen liikenteeneston tai internet-yhteyden tiliasetuksien vuoksi.
Joissakin tilanteissa voi auttaa https_proxy-ympäristömuuttujan lisääminen arvolla, kuten:
http://<välityspalvelimen osoite>:<portti> TAI https://<välityspalvelimen osoite>:<portti>
Muussa tapauksessa seuraavien päätepisteiden käytön salliminen voi auttaa:
ims-na1.adobelogin.com:443
usermanagement.adobe.io:443
Ongelma voidaan ratkaista vain paikallisesti sallimalla yllä mainittujen päätepisteiden käyttö käytössä olevalle tilille.
Esimerkki lokimerkinnästä:
2017-07-07 09:01:37 4916 CRITICAL main - Connection to org [...] at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: Unable to authorise against https://ims-na1.adobelogin.com/ims/exchange/jwt: Response Code: 400, Response Text: {"error_description":"The metascopes in the JWT are not a subset of the metascopes in the binding.","error":"invalid_scope"}
Vihje: Avaa osoitteessa https://developer.adobe.com/console/projects luomasi integrointi ja tarkista vasemmanpuoleinen valikko, jossa on lueteltu APIt.Varmista, että User Management API on lisätty palveluna (näkyy luettelossa).
No valid bindings were found for organization and technical account combination
Esimerkki lokimerkinnästä (virheenkorjaustila):
2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: Unable to authorize against https://ims-na1.adobelogin.com/ims/exchange/jwt:
Response Code: 400, Response Text: {"error_description":"No valid bindings were found for organization and technical account combination","error":"invalid_token"}
Vihjeitä:
a) Syynä voi olla se, että tech_acct-arvo connector-umapi.yml-tiedostossa vastaa muuta arvoa kuin teknisen tilin tunnusta integroinnissa osoitteessa https://developer.adobe.com/console/projects. Tarkista teknisen tilin tunnuksen arvo nykyisestä integroinnista ja kopioi se tähän tiedostoon.
b) Syynä voi olla myös se, että integroinnin julkinen varmenne on vanhentunut. Uusi yksityinen ja julkinen avain. Lataa sitten julkinen avain palvelimelle ja korvaa vanha yksityinen avain uudella. Varmista, että polku tiedostossa connector-umapi.yml osoittaa oikeaan tiedostoon.
c) Tarkista, onko integrointi tehty oikeaa organisaatiota varten. Valitse organisaatio vasemman yläkulman avattavasta luettelosta osoitteessa https://developer.adobe.com/console/projects.Tarkista sitten aktiivisen integroinnin teknisen tilin tunnuksen arvo yhdessä muiden metatietojen kanssa (organisaatiotunnus, salaisuus ja asiakastunnus).
SSL: CERTIFICATE_VERIFY_FAILED
Esimerkki lokimerkinnästä:
2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)
Vihje: Tämän aiheuttaa paikallisessa välityspalvelimessa käytössä oleva SSL-tarkastus
Ratkaisu 1: Hanki välityspalvelimen varmenteiden päämyöntäjän varmenne PEM-muodossa (sen nimi on oletettavasti thecert.crt). Jos käytetään DER-muotoa, muunna se PEM-muotoon käyttämällä openssl-komentoa:
openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM
Huomautus: Jos varmenteen sisällössä näkyy base64-koodattu merkkijono rivien
-----BEGIN CERTIFICATE----- ja -----END CERTIFICATE----- välissä, kyseessä on PEM-muotoinen tiedosto.
Luo seuraavaksi ympäristömuuttuja nimeltä REQUESTS_CA_BUNDLE ja anna sen arvoksi polku thecert.pem-tiedostoon.
Ratkaisu2: Joissakin tapauksissa Windowsissa on havaittu, että jos työkalu suoritetaan eri asemalta kuin mihin käyttöjärjestelmä ja Python on asennettu, tämä virhe voi ilmetä.Koko komentosarjan siirtäminen käyttöjärjestelmän kanssa samaan asemaan voi ratkaista ongelman.Jos se ei ole mahdollista, kaikki luotetut varmenteiden päämyöntäjät sisältävää cacert.pem-tiedostoa voidaan kopioida toiselle asemalle je sen polkua voidaan käyttää REQUESTS_CA_BUNDLE-ympäristömuuttujan syöttöarvona.Jos välityspalvelin tarkistaa myös SSL-liikenteen, varmenteen päämyöntäjän varmenteen sisältö on kopioitava cacert.pem-tiedostoon, jotta vopidaan varmistaa, että myös välitysvarmenne on luotettu.
Huomautus: Python-oletusasennuksessa varmennepaketti sijaitsee kohteessa C:\Python36\Lib\site-packages\certifi\cacert.pem.
Ratkaisu 3: Poista SSL-tarkistus API-päätepisteiden ims-na1.adobelogin.com ja usermanagement.adobe.io osalta käytöstä välityspalvelimessa.
Esimerkki lokimerkinnästä:
2018-01-01 09:01:37 4916 WARNING ldap - No group found for: Name_Of_The_Group
Vihjeitä:
a) Tämännimistä ryhmää ei ole olemassa LDAP:ssä. Ratkaise ongelma lisäämällä ryhmän oikea LDAP-nimi.
b) Ryhmä ei ole löydettävissä ilmoitetulla base_dn-arvolla (katso connector-ldap.yml-tiedosto). Muuta base_dn-arvoa niin, että se sisältää mainitun ryhmän (ilmenee pääasiassa silloin, kun base_dn osoittaa johonkin OU:hun sen sijaan, että se olisi mahdollisimman laaja).
Esimerkki lokimerkinnästä:
2018-01-01 11:25:45 1 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Command: {'add': {'product': ['group_name']}}): code: "error.group.not_found" message: "Group my_group_name was not found"
Vihje: Adobella ei ole olemassa yllä olevassa ilmoituksessa mainittua käyttäjäryhmää group_name, joten voit luoda sen. Jos tarkoituksena oli asettaa PLC:n nimi käyttäjäryhmän sijasta, katso kuvaavammat ohjeet tältä ohjesivulta.
Esimerkki lokimerkinnäsä:
2018-09-05 10:58:08 96329 CRITICAL main - Connection to org some_Org_UUID@AdobeOrg at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Library not loaded: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
Referenced from: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
Reason: image not found
2018-09-05 10:58:08 96329 INFO main - ========== End Run (User Sync version: 2.3) (Total time: 0:00:00)
Vihje: Tämä virhe todettiin macOS High Sierra -käyttöjärjestelmässä, kun käytössä oli UST 2.3 ja Python 3.7.0. Komennon brew install openssl suorittaminen Terminaalissa korjasi tämän tilanteen.
Could not create person for type 2 or 3 [...]
Esimerkki lokimerkinnästä:
2019-07-28 07:17:51 2220 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Command: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): code: "error.internal.create_failed" message: "Could not create person for type 2 or 3. Renga-tulos on NOT_ALLOWED, Resurssia hallitaan ulkoisesti ja tokenista puuttuu GROUP_SOURCE_UPDATE-tarkoitus."
Toisinaan @varattu-verkkotunnus.com kuuluu eri organisaatiolle, joka on ottanut käyttöön Azure- tai Google-liittimen tilien Admin Console -synkronoinnin hallintaa varten. Tämä sama verkkotunnus luovutetaan sitten toiselle organisaatiolle, joka käyttää User Sync Tool -työkalua @varattu-verkkotunnus.com-muotoisten tilien synkronoimiseen
Syy: Kirjattu viesti näytetään, kun synkronointityökalu purkaa
käyttäjä@varattu-verkkotunnus.com-tilin LDAP-palvelimelta luodakseen sen toissijaisessa organisaatiossa. Tiliä ei kuitenkaan ole vielä luotu tai synkronoitu pääorganisaatioon Azure- tai Google-liittimen kautta.
Vihje: Kokeile luoda tai synkronoida käyttäjä@varattu-verkkotunnus.com -tili organisaatioon Azure- tai Google-liitintä käyttämällä ja yritä sitten synkronoida uudelleen luotetun organisaation UST:n kanssa.
Unexpected LDAP failure reading [...]
Esimerkki lokimerkinnästä:
2018-09-05 10:58:08 96329 6348 CRITICAL main - Unexpected LDAP failure reading group info: {'desc': 'Referral', 'info': 'Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local'}
Mahdollinen syy: Kiinnostuksen kohteena olevat ryhmät sijaitsevat alitoimialueella, mutta isännän arvo on jokin päätoimialueista.
Vihje: Vaihda isännän arvoksi se alitoimialue, jossa käyttäjäryhmät sijaitsevat. Jos kiinnostuksen kohteena olevat käyttäjät tai ryhmät sijaitsevat sekä päätoimialueella että sen alitoimialueilla, käytä päätoimialueen yleistä luetteloporttia. Muokkaa alitoimialueiden ryhmiä siten, että niiden arvo on Universal (Universaali), ei Global (Yleinen). Esimerkki yleistä luetteloporttia käyttävästä isännän arvosta: ldap://domain.local:3268 tai ldaps://domain.local:3269
Jos jälkimmäisessä tilanteessa käytetään yleistä luetteloporttia, varmista, että base_dn-arvolla ei ole arvoa:
base_dn: ""
error.organization.invalid_id
Esimerkki lokimerkinnästä:
2020-08-20 12:00:00 1892 ERROR main - Unhandled exception
raise RequestError(result)
umapi_client.error.RequestError: Request Error (401): {"lastPage":false,"result":"error.organization.invalid_id",
"message":"UNAUTHORIZED"}
Tämä virhe havaittiin vanhemmissa integraatioissa.
Korjaus: luo uusi integraatio (tai Projekti) osoitteessa https://developer.adobe.com/console/projects olemassa olevan rinnalle, jota käytetään samaan tarkoitukseen.Uusi integraatio tarjoaa uudet tunnistetiedot, joten muista päivittää ne connector-umapi.yml-tiedostoon.On hyvin mahdollista, että avainpari (yksityinen/julkinen avain) on uusittava, joten uuden yksityisen avaimen on korvattava olemassa oleva.
Henkilöä ei voitu luoda tyypillä createFederatedID
Esimerkki lokimerkinnästä:
2021-01-01 18:00:00 14063 ERROR umapi.action - Error in requestID: action_19 (User: {'user': 'some_user', 'domain': some.domain', 'requestID': 'action_19'}, Command: {'createFederatedID': {'email': 'some_user@some.domain', 'option': 'ignoreIfAlreadyExists', 'firstname': 'FName', 'lastname': 'LName, 'country': 'GB'}}): code: "error.internal.create_failed" message: "Could not create person of type createFederatedID"
Tämä on yleinen virhe useille syille, mutta tavallinen ongelma on, että luontitoiminnossa käytetty verkkotunnus on Azure- tai Google-synkronoinnin vaikutuksen alaisena.
Tarkistustapa: kirjaudu Admin Consoleen järjestelmänvalvojan tilillä, napsauta sitten Asetukset-valikkoa, napsauta toimialueen sisältävää hakemistoa ja napsauta Synkronointivalikko-välilehteä
Onko Synkronointi-valikossa Synkronointilähde-kortti?
Jos Kyllä, korjaus riippuu siitä, miten synkronoinnin tulisi jatkua:
-> jos Azure- tai Google-yhdistimen pitäisi hoitaa synkronointi, jatka Synkronointilähteen asetuksia ja poista UST kokonaan
-> jos UST:n pitäisi hoitaa synkronointi, napsauta "Siirry asetuksiin" -painiketta ja napsauta "Poista synkronointi" -painiketta sivun alareunassa; UST:n pitäisi alkaa toimia normaalisti tämän jälkeen
Jos Ei, voi olla, että nykyinen UST toimii sellaista konsolia vastaan, jonka hoidettavaksi kyseinen toimialue on annettu toisesta konsolista (omistavasta organisaatiosta).Tällä toisella organisaatiolla saattaa olla Azure- tai Google-synkronointi käytössä, mikä voi johtaa nykyiseen virheeseen.Korjaus tässä tapauksessa on synkronoida tili ensin omistavassa organisaatiossa/konsolissa ja käyttää sitten UST:tä tilin luomiseen/lisäämiseen nykyisessä konsolissa.
Jos mikään yllä olevista tilanteista ei sovi nykyiseen skenaarioon, on parasta ottaa yhteyttä Enterprise-tukeen.
