[2003/AD] Users bestaan in AD maar kan ze niet via LDAP zien

Zat te twijfelen of dit wel het goede sub-forum was, maar ik gok het er gewoon op. Misschien moet de topictitel aangepast worden -> [2003 LDAP/AD] ?

Ik heb een PHP authenticatie-script geschreven dat via LDAP met de Active Directory communiceert.
Op zich werkt het script prima, maar wat is het probleem.

Ongeveer een half jaar geleden zijn wij gemigreerd van WIndows 2000 naar WIndows 2003.
Het blijkt nu dat alle users die tijdens die migratie al bestonden, nu via dat PHP authenticatie script goed kunnen inloggen. Alle users die erna zijn bijgekomen in de AD werken af en toe. Ik vermoed dat er ergens gescheduled is dat LDAP offline dbase 1 keer per maand wordt bijgewerkt. Als de users die er na de migratie zijn bijgekomen hun wachtwoord veranderen o.i.d. moeten ze een maand wachten ongeveer voordat ze er weer in kunnen.

Ik heb een scriptje geschreven dat alle users uit de LDAP dbase laat zien en de users van na de migratie die aan de bovenstaande voorwaarden voldoen staan er niet tussen, voor de rest wel iedereen. Probleem ligt dus niet aan mijn authenticatie script (hier hebben ook al diverse andere PHPers naar gekeken en aangezien het voor 90% van de users wel goed werkt lijkt me dat het daar niet in zit)

Nu ben ik geen ster in Windows 2003 / AD / LDAP, maar volgens mij ben ik op zoek naar een manier om de offline LDAP database bij te werken of een manier om de schedule aan te passen zodat ik geen last meer heb.

Uiteraard heb ik heel GoT en Google afgezocht

Hieronder ter info nog een mailtje wat ik ontving van 1 van de jongens van Schutte:

Een Ldap import werkt op basis van een aantal gegevens die je op geeft in de ADS. (bv fullusername of lastname)

Een Ldap import werk meestal eenmalig. Als je de koppeling aan zet bouwt hij een offline database.

Meestal zit er wel een schedule in zodat hij een update uitvoert deze update zal denk ik bij jullie op een week staan.

Waar je dus even naar moet kijken is een schedule mogelijkheid om dit aan te passen.(op 24 uur zetten)

Wie kan mij een zetje in de goede richting geven.

[ Voor 13% gewijzigd door Righteye op 06-12-2005 08:44 ]

Bedankt voor de info, momenteel bezig met die LDAP browser, wil nog niet echt lukken (invalid credentials) maar zal wel iets fout doen. maar krijg exact dezelfde resultaten als boven met LDAP, oude users wel, nieuwe users niet.

Jij schrijft dat dat bij jouw de refresh op 5 minuten stond. Heb jij enig idee waar ik dat kan vinden ?

[ Voor 17% gewijzigd door Righteye op 06-12-2005 10:51 ]

Grmbl....stomme stagaires....ga eens aan je werk man. Die unattended CD is nog steeds niet goed af !

[ Voor 56% gewijzigd door Righteye op 06-12-2005 11:08 ]

Goed.....op de 2 AD servers die we hebben draaien heb ik LDP.exe opgestart en zowaar alle goeie gegevens staan erin. Aangezien LDP.exe ook verbinding maakt met LDAP moet het dus allemaal goed gaan.

Ik weer verbinden met LDAP via mijn PHP scriptje en nee hoor, de oude users kunnen erin, de nieuwe niet.

Inmiddels heb ik bijna al mijn haar al uit mijn hoofd getroken. Wie oh wie helpt me verder......

Hehe...gelukt.

Wat was het probleem, de webserver staat op een aparte server, naast de 2 AD servers. Kennelijk wordt de offline LDAP dbase op de webserver niet bijgewerkt. De LDAP dbases op de AD servers wel.

Dus de LDAPbind omgegooit naar 1 v.d. 2 andere AD servers en voila het werkt.

elevator schreef op dinsdag 06 december 2005 @ 12:07:
Windows genereert geen "offline" LDAP database hoor

Eehhh...volgens Schutte Systems wel en dat klopt ook met mijn laatste bevindingen. Sterker nog op de webserver staat momenteel nog een offline LDAP dbase (oftwel 1tje die al zeker 6 maanden niet gesynchd heeft -> dus offline lijkt mij ?)

Topic mag dicht...ik ben tevreden....bedankt voor de support !

[ Voor 45% gewijzigd door Righteye op 06-12-2005 12:17 ]