user profile信息同步问题

经过下午的远程会议, 该问题已经解决. 以下为小结以及针对AD同步账号的权限配置的要求:

纠正：

1. 将现有的所有User Profile Service Application 删除

2. 执行IISRESET重启IIS

3. 新建User Profile Service Application,在创建过程中选择”创建新应用程序池”.

4. 更新NetBIOSDomainNamesEnabled属性为True, 最后一行代码的结果应该为True

$UPA = Get-SPServiceApplication | ? {$_.typeName -like '*User Profile*'}

$UPA.NetBIOSDomainNamesEnabled

$UPA.NetBIOSDomainNamesEnabled = $true

$UPA.Update()

$UPA = Get-SPServiceApplication | ? {$_.typeName -like '*User Profile*'}

$UPA.NetBIOSDomainNamesEnabled

5. 执行IISRESET重启IIS

6. 启动User Profile同步服务

7. 创建AD同步连接, 创建时使用对AD有权限同步的账号

8. 执行完全同步

9. 查看用户名是否显示正确.

1) 因为是测试环境, 我们直接重新创建了用户配置服务 2) 为该用户配置服务启用了NetBIOSDomainNamesEnabled 3) 进行完全同步时发现访问DC出现Replicate Directory Changes Denied错误. 4) 检查将要导入的Domain 下的相关权限没有问题 5) 检查CN=Configuration上同步账号的权限, WTC\Setup.Moss没有相关权限. 6) 检查WTC\Setup.Moss是否在Pre Windows 2000 compatible access组中, 将其加入该组. 7) 使用Domain Admin进行完全同步 8) 检查同步到SharePoint中的用户配置文件, 用户名显示正常, 问题解决. 9) 基于策略的考虑, 如果不希望使用Domain Admin进行同步而需要使用WTC\Setup.Moss, 那么必须授予该账户在CN=Configuration的Replicate Directory Changes权限. 10) 需要CN=Configuration的权限是因为当前需要同步的域的NETBIOS和FQDN不一致, 而这些不一致的信息是储存在Configuration中的, 同步账号需要具有Replicate Directory Changes权限. 设置该权限需要FOREAST ADMIN 或者ENTERPRISE ADMIN进行操作. 步骤: A) 在DC05上运行ADSIEDIT.MSC B) 右键点击ADSI Edit, 选择Connect To… C) 选择Configuration   D) 展开Configuration E) 右键CN=Configuration, 选择属性, 切换到Security F) 添加WTC\SETUP.MOSS并授予Replicate Directory Changes权限, 示例:   G) 保存

有关如何授予Replicate Directory Changes权限: http://support.microsoft.com/kb/303972/zh-cn 有关启用NetBIOSDomainNamesEnabled的脚本: $UPA = Get-SPServiceApplication | ? {$_.typeName -like '*User Profile*'} $UPA.NetBIOSDomainNamesEnabled $UPA.NetBIOSDomainNamesEnabled = $true $UPA.Update() $UPA = Get-SPServiceApplication | ? {$_.typeName -like '*User Profile*'} $UPA.NetBIOSDomainNamesEnabled

westrac.com.cn

wtc

cmd:set user

netbiox不一致的问题解决办法，需要授予以下权限