.

Project Server „Hot Issues“ – Teil 1: Fehler 7734 bei Active Directory Synchronisation

Veröffentlicht am 24.05.2013 | Lesezeit 2 Min.

Auf Anregung eines Kunden beginnen wir hiermit eine Serie der häufigsten Probleme, die beim Betrieb eines Project Server Systems auftreten.

Beginnen wollen wir mit einem von mehreren Problemen, die bei der Synchronisation mit Active Directory auftreten können.

Sie stellen bei einem Blick in die Warteschlange fest, dass der nächtliche AD Sync teilweise fehlgeschlagen ist. Beim Blick in die Project Server Gruppen finden Sie hinter mindestens einer Gruppe den Status „teilweise fehlerhaft“.

In der Ereignisanzeige findet sich eine Meldung mit der Event ID 7734:

Ereignisanzeige mit Meldung Event ID 7734

Zunächst erscheint die Meldung wenig logisch. Das genannte Benutzerkonto gibt es in Project Server nur genau ein Mal. Auch im AD existiert es natürlich nur ein Mal (in beiden Systemen muss das Benutzerkonto eindeutig sein). Wie kann es da zu einem „duplicate windows account name conflict“ kommen?

Project Server speichert zur Ressource eine eindeutige AD Object ID. Wird der Benutzer durch den AD Sync angelegt, schreibt Project Server diese ID sofort. Ist der Benutzer bereits manuell angelegt worden und der AD Sync synchronisiert einen Benutzer mit demselben Anmeldekonto, wird die ID nachgetragen.

Die ID kann man sich in den Eigenschaften der Ressource im Bereich „Systemidentifikationsdaten“ anschauen:

Einsicht der ID im Bereich "Systemidentifikationsdaten"

In der Datenbank befindet sie sich in der Published DB, Tabelle MSP_Resources im Feld WRES_AD_GUID.

Published DB Tabelle

Diese ID ist primäres Kriterium für den Sync. Sie ermöglicht Project Server, auch eine Namens- und Kontoänderung (etwa nach Heirat, Scheidung o.ä.) nachziehen zu können.

Wird aber ein Benutzer im AD gelöscht und neu angelegt, kommt es beim nächsten Sync zu einem Fehler. Project Server stellt fest, dass es einen Benutzer mit dieser Object ID noch nicht gibt. Es will daher den Benutzer neu anlegen. Das schlägt aber fehl, weil das Anmeldekonto in Project Server eindeutig sein muss.

In den Eigenschaften des Syncs steht für die Gruppe dann „partial fail“.

Der „saubere“ Weg ohne Eingriff in die Datenbank wäre, den bestehenden Benutzer in Project Server zu löschen und durch den AD Sync einen neuen erstellen zu lassen. Das ist aber eine schlechte Lösung, weil damit der Bezug zu Projekten und Zuordnungen in Projekten verloren gehen würde.

Die bessere Lösung für das Problem besteht darin (falls es sich tatsächlich um dieselbe Person handelt), die WRES_AD_GUID der Ressource zurückzusetzen, damit Project Server die bestehende Ressource mit dem neuen Windows Benutzerkonto verbinden kann.

Das geht per

Update MSP_RESOURCES set WRES_AD_GUID = NULL where wres_account=’DOMÄNE\Benutzer’

Die beste Lösung besteht darin, das Löschen von Benutzern zu unterlassen. Das lässt sich aber in der Praxis nicht vollständig ausschließen.