5. Troubleshooting

19 мая 2022 г.

13:53

1) Ошибка при импорте из CSV

Скорее всего, проблема с соответствием полей csv и столбцов таблицы, куда заносишь данные

Может быть размер слишком мал по умолчанию для столбца или неправильно выбран - FullPath у Department, например, заполняется автоматически.

DEPARTMENTCODE = UID_DepartmentID

PARENTCODE = UID_DepartmentParentID

2) Не выполняются таски на JobServer

Проверить, что установлен .Net 4.7.2 на JobServer

3) Не подгружаются таблицы OneIM при маппинге новой системы

Надо сделать Refresh Schema для БД OneIM

4) Не запускается Process Plan для выгрузки пользователей из CSV.

Нужно правильно прописать Condition у Process Plan.

Заходим в таблицу, куда мы сохраняли Custom Process (DialogSchedule) и находим имя процесса

Name='SGP Export Person To CSV'

Делаем Commit в базу.

5) При импорте из БД в таблице OneIM сначала удаляются записи, а потом создаются снова (Delete -> Insert )

Надо в Mapping - создать Object Matching Rule

Object matching rules Schema property in One Identity Manager LID UNSAccount8 Information Primary rule Schema propeO' in the target system LOGIN

5) Мгновенное удаление аккаунта из AD

$Designer - alex@t oneim db-4.domain\OneIM (Main Database) Qatabase Schema Options Yiew Help a Commit to database Back • Next • Navigation One Identity Manager Schema AccProductInFurKtionaIArea AccProductParamCategory AccProductParameter ADSAccount ADSAccountlnADSGroup ADSAccountSecretary ADscontact ADscontactlnADSGroup ADSContactSecretary ADSContainer ADSDomain ADSDomainsubType ADSForest ADSGroup ADSGroupCoIIection ADSGroupExcIusion ADSGrouplnADSGroup ADSGroupSecretary ADSMachine ADSMachinelnADSGroup ADSMachinelnADSSite ADSOtherSlD ADSOtherSlDlnADSGroup Search X Getting Started Col um ns ADSAcc Table properties Table Usage type Display name (sirrgular) Display name (plural) Display pattem Display pattern (10 ng) Hierarcfw path Remarks Cache information Prep rocesso r co nd ition Deferred deletion [days] Process - Display name AOSAccount ser data Active Directory account Active Directory user accounts (Lilo not load Disabled by preprocessor$

+ в Manager зайти в Show Deffered operations и нажать Play для задачи отложенной

6) Конвертирование даты в VB

Public Sub CCC_Test3(ByVal date1 As String)

Dim date2 As DateTime = CType(DateTime.ParseExact(date1, "dd.mm.yyyy", System.Globalization.CultureInfo.InvariantCulture), DateTime)

MsgBox(date2)

End Sub

7) Запись даты в лог

VID_Write2Log(strLOGFileName, String.Format("{0}, ==> Data: {1}", Now.ToString(), dbsUnsAccount.ToString()))

8) Фильтр синхронизации

В Sync Editor - Workflows – В Processing можно задать условие на действие - Insert, например

9) Права на самостоятельно созданные поля у пользователя UNSAccountB

В Manager – One Identity Manager Schema - выбираем таблицу - Справа Edit Permissions for table - Выбираем столбец и ставим галки на Insert

10) У Account Definition не активны галки Retain

Это значит, что Acc Def требует другую Acc Def - если убрать зависимость, то галки становятся активными

11) SDK скрипты OneIM

C:\distr\OIM81\Modules\QBM\dvd\AddOn\SDK\ScriptSamples

12) Синхронизация из нескольких Custom Target Systems

Если совпадают пользователи, то надо настраивать Scope для основной БД

+ в настройках Workflow для Insert

Edit condition... Define a condition Cher . ' Ignore case

13) ВАЖНО! Маппинг пользователей и групп

Не переносить ничего в атрибуты UID_UNSAccountB и UID_UNSGroupB !

Они генерятся сами, по своим законам, иначе потом могут быты проблемы с синхронизацией.

14) Импорт связей в таблицу UNSAccountBInUnsGroupB

Если несколько Custom Target Systems, то при импорте связей пользователей и групп могут быть проблемы с удалением связей.

Решается расширением таблицы UNSAccountBInUnsGroupB на столбец UID_UNSROOTB, который foreign key к UNSRootB

После этого, в этот атрибут мапится значение UNSRootB Custom Target Sustem.

Потом в Workflow у действия Delete прописывается

Base.CCC_UID_UNSRootB=Other.vrtIdentUNSRoot

15) Использование дополнительных модулей в скриптах

#If Not SCRIPTDEBUGGER Then

Imports System.Collections.Generic

Imports System.Data

#End If

#If Not SCRIPTDEBUGGER Then

References Devart.Data.Oracle.dll

Imports Devart.Data.Oracle

#End If

16) Matching rule для user – role

UID_UNSAccountB_LOGIN AND UID_UNSGroupB_Role_as_string

Чтобы учитывать оба атрибута, так как может повторяться и логин и группа

17) Не импортируются пользователи HP без табельного номера

Надо делать Matching Rule AccountName – LoginToUpper

18) Не разрешались при импорте в UNSAccountVInUNSGroupB все UNSAccountB

Были загружены не все пользователи для этой системы.

Надо делать было Matching Rule по логину, а не по табельному.

19) Directum процедура OIM_UpdateUser меняет FullName на основании переданного логина.

20) Условие выполнения процесса

Value = \$UID_UNSRootB\$ Like "f0a34f8e-07c5-4800-9874-a0e8a313c051"

21) При импорте не создаются DisplayName корректные в Directum

Надо проверить, чтобы в схеме у поля не было безусловного правила, по которому создается значение этого поля. Происходит конфликт.

Надо делать условие для поля.

22) ITShop столкнулся с проблемой, при которой при запросе на добавление в группу AD из ITShop пользователь физически не добавляется в эту группу в AD

Для продукта назначается бизнес роль, на которую нужно назначить группу AD.

23) Удаление Shelf из ITShop

Убрать привязку к группе
Убрать привязку Approval policy
Удалить бизнес роль (или привязку к этой бизнес роли)
Убрать привязку к каталогу
Assignment resourse – Remove from all shelves

Надо ждать, пока выполнятся все процессы.

24) Web Designer

Не добавляется надпись - надо Text указывать в кавычках)

25) IT Shop не приходят письма о requests

Надо прописать Default email address у пользователя в закладке Miscellaneous

+ в дизайнере указать "QER\ITShop\DefaultSenderAddress"

To use notification in the request process

Ensure that the email notification system is configured in One Identity Manager. For more detailed information, see the One Identity Manager Configuration Guide.
Set the configuration parameter "QER\ITShop\DefaultSenderAddress" in the Designer and enter the sender address with which the email notifications are sent.
Ensure that all employees have a default email address. Notifications are sent to this address. For more detailed information, see the One Identity Manager Identity Management Base Module Administration Guide.
Ensure that a language culture can be determined for all employees. Only then can they receive email notifications in their own language. For more detailed information, see the One Identity Manager Identity Management Base Module Administration Guide.
Configure the notification procedure.

https://support.oneidentity.com/technical-documents/identity-manager/8.0.1/it-shop-administration-guide/38#TOPIC-916350

И тут ещё

SenderAddress=\<Enter email address in configuration parameter "QER\RPS\DefaultSenderAddress">

Для запросов используется таблица

PWOHelperPWO

26) Запуск очереди БД - если она не работает (wait for dbqueue processor)

Just, for clarification. You added another CPU to your system and then these Errors occur? Or did you do anything in addition?

You could use the following SQL statements to remove and reinstall the SQL Agent Jobs:

-- First check if there are sessions used by the DBProcessor. If so wait for them to be finished
SELECT spid, PROGRAM_NAME, login_time, hostname
FROM sys.sysprocesses
WHERE PROGRAM_NAME LIKE 'SQLAgent%'
AND dbid = DB_ID()

-- if you need to remove the sql agents for D1IM, exec:

EXEC QBM_PWatchDogPrepare 1
GO

EXEC QBM_PDBQueuePrepare 1
GO

-- To re-initialize the sql agents for D1IM, exec:

EXEC QBM_PWatchDogPrepare 0
GO

EXEC QBM_PDBQueuePrepare 0, 1
GO

27) Не активны кнопки при подтверждении email при создании нового внешнего пользователя

Причина - не создается CentralAccount Name

Решение - доработать скрипт, чтобы было достаточно только имени и фамилии, так как при регистрации по дефолту не спрашивается Отчество

28) Пустой отчет приходит на почту

Надо в настройках отчета сделать, чтобы заполнять дополнительную информацию при отправке

29) Outstanding - помечает на удаление

Удаление помеченных объектов

http://www.identitymanager.tech/viewtopic.php?t=38

30) Пользователь AD не перемещается в нужную OU при изменении департамента в файле csv доверенной системы

Не генерируется CentralAccName

В Workflow Sync Editor надо поставить галку Data Import, тогда флаг FULLSYNC не будет проставляться!

https://support.oneidentity.com/technical-documents/identity-manager/8.0/target-system-synchronization-reference-guide/7#TOPIC-863230

Возможность отключать Data import сделана для того, чтобы не было накладок во время синхронизации с целевыми системами пока они синхронизируются.

The session variable FullSync=FALSE is set if the option Data import is enabled.

Еще как вариант решения - в Manager в AD – на домене - Execute Templates (получается, что в ручную)

Чтобы процесс срабатывал только на синхронизацию из AD – надо прописать условие для процесса

Value = CBool(Connection.Variables("FULLSYNC")) AndAlso _

CBool(values("AdHocDataFound"))

31) Если пользователь не попадает в группу, через бизнес роль - надо проверить, чтобы у него стояла галка isGroupAccount

32) Application Server устанавливаем из дистрибутива 1IM!!!

33) После переноса данных (Transport) не работает синхронизация

Почему то не переносятся Base Object у проекта синхронизации.

Надо создать Base Object

И проверить Custom Target System в Manager

Перед импортом пользователей из CSV надо импортировать департаменты!

34) History DB Не загружаются таблицы из основной БД при выполнении задачи

Import Process Information directly

Нужно, чтобы в очереди основной БД ничего не было (очистить очередь - Ctrl + D по задаче)

35) Не сохраняются DataSources в отчетах

Не открывать на редактирование отчет. Добавить Data Source, сохранить и потом можно редактировать сам отчет.

36) Отчеты. Не отображаются группы пользователя.

Для отображения групп используем таблицу

UNSAccountInUNSGroup

37) Почтовые шаблоны. Русские буквы печатаются иероглифами.

Не нужно использовать fakeSMTP.

Можно развернуть Linux & postfix & dovecot на Windows 10 WSL.

38) API. Русские буквы передаются иероглифами

Надо указывать charset=utf-8

\$newURI = (Invoke-RestMethod -Uri "https://t-oneim-4.domain/AppServer/api/entity/Person" -WebSession \$wsession -Method Post -Body \$body -ContentType "application/json; charset=utf-8").uri

39) History DB Ошибка при вставке в таблицу UID_QBMDeployTarget

Проверить версию SQL (если в ошибке встречается NULL)

https://www.oneidentity.com/community/identity-manager/f/forum/29784/error-installing-job-server/72824#72824

40) Маппинг пользователей. Одному Employee соответствует несколько AD аккаунтов

Маппить по ФИО недостаточно!

ФИО + должность, например

41) Чтобы почистить таблицу Custom Target Sysstems - можно просто удалить коннектор в Sync Editor (не работает для AD коннектора)

Можно в Designer запустить SQL редактор и через него удалить записи из таблицы - система почистить взаимосвязи - это корректый способ удаления

42) Ошибка [System.IO.FileNotFoundException] Could not load file or assembly 'VI.Projector.ADS.JobComponent' or one of its dependencies. Не удается найти указанный файл.

Надо из дистрибутива

C:\distr\OneIM8.1SP1\Modules\ADS\install\bin

Скопировать файл в установочную директорию

VI.Projector.ADS.JobComponent.dll

43) Не удается отправить письмо менеджеру при увольнении сотрудника

По событию UPDATE

O New Employee Send ema" Process properties General process tracking Name Table Description Pre-script for generatirrg Generating cordition Mail template 'Exit_person' Extended CCC _ Process - Person value $1sInActive : Bool$ Do notgenerate Disabled by preprocessor

-------

CCC Send _mail_when _inactik_Ä Sen d_email Process step properties General Generation Error handling Extended Pre-script for generatirrg values ("ContactEmaiI") $ FK (OID Department) FK(UID PersonHead) Con tactEmai I $

44) Администрация - не назначется руководитель, через csv

Ключом пользователя является его GUID - он мапится в CustomProperty01

45) ITShop. Не приходят уведомления аттестующим о запросах

46) ITShop. Не отправляются письма при approve в workflow

Событие Granted для таблицы PersonWantsOrg (для шага)

OrderGranted - для всего запроса целиком

Есть стандартный процесс "VI_ESS_PersonWantsOrg send mail when step granted"

Надо в Workflow (в Manager) процесса указать шаблон для Mail Template Approved, чтобы этот процесс заработал!

Можно для почтового шаблона (IT Shop request - approval granted to approval step) поставить язык русский и запилить под этот язык шаблон - тогда будет работать.

Язык шаблона определяется из параметров пользователя (employee)

IШаблоны можно копировать, через ObjectBrowser

Вкладка Navigation

Таблица

DialogRichMailBody - там хранится HTML код для языков.

47) ITShop. При назначении нового менеджера сотруднику выходит ошибка: "You do not have permission to assign a new manager"

Даны права для всех для стандартного ITSHOP

При ошибках в ITShop - надо проверить, что доступен стандартный ITShop, так как на него много чего завязано - и делегирование …

48) ITShop. При попытке делегировать права на портале выходит ошибка

Даны права для всех для стандартного ITSHOP

При ошибках в ITShop - надо проверить, что доступен стандартный ITShop, так как на него много чего завязано - и дилегирование …

49) ITShop. Общий шаблон не отображается

Надо, чтобы стояли галки как Public так и Share

Public template	Specifies whether the request template is available to all One Identity Manager users.
Shared	Specifies whether the request template is can be used by all One Identity Manager users. This option can only be changed in Manager through the user with the application role Request & Fulfillment \| IT Shop \| Administrators. If the option Public template is not set on a shared template, the option Shared is also disabled.

Public template

Specifies whether the request template is available to all One Identity Manager users.

Shared

Specifies whether the request template is can be used by all One Identity Manager users. This option can only be changed in Manager through the user with the application role Request & Fulfillment | IT Shop | Administrators.

If the option Public template is not set on a shared template, the option Shared is also disabled.

https://support.oneidentity.com/technical-documents/identity-manager/8.0.1/it-shop-administration-guide/57

50) Чтобы не удалялась учетка, когда отключается в 1IM

Надо в Account Definition поставить галки

Z] Retainaccountdefinitionifpermanentlydiszbled Z] Retainaccountdefinition iftemporarilydiszbled Retainaccountdefinitionondeferred deletion Retainaccountdefinitiononsecurityrisk

51) Не переносится учетка AD, если галка DataImport не установлена у csv в Sync Editor

В таблице ADSAccount у поля UID_ADSContainer Template

'\$FK(UID_Person).UID_Department\$

'\$FK(UID_Person).UID_Locality\$

'\$FK(UID_Person).UID_ProfitCenter\$

#If ORG Then

'\$FK(UID_Person).UID_Org\$

#End If

'If CBool(Connection.Variables.Get("FULLSYNC")) = False Then

Select Case (\$FK(UID_TSBBehavior).ITDataUsage:Int\$)

Case 0:'do not get data from employee

Case -1:'fill property initially from the ITData of the employee

If Not \$[IsLoaded]:Bool\$ Then

If \$FK(UID_Person).IsInActive:Bool\$ Then

Value = "d0c905f9-4b2d-4db0-a47a-396fd139f9a6"

Else

Value = TSB_ITDataFromOrg(\$UID_Person\$, \$UID_TSBAccountDef\$, Base.TableDef.Columns("UID_ADSContainer"))

End If

Case 1:'update property depending on ITData of the employee

If \$FK(UID_Person).IsInActive:Bool\$ Then 'перемещаем учетку в OU "уволенные сотрудники", если она заблокирована

Value = "d0c905f9-4b2d-4db0-a47a-396fd139f9a6"

Else

Value = TSB_ITDataFromOrg(\$UID_Person\$, \$UID_TSBAccountDef\$, Base.TableDef.Columns("UID_ADSContainer"))

End If

End Select

'End If

52) При удалении пользователя - перенос его учетки AD в отдельное OU

В таблице ADSAccount у поля UID_ADSContainer Template

If \$FK(UID_Person).IsInActive:Bool\$ Then 'перемещаем учетку в OU "уволенные сотрудники", если она заблокирована

Value = "d0c905f9-4b2d-4db0-a47a-396fd139f9a6"

Else

Value = TSB_ITDataFromOrg(\$UID_Person\$, \$UID_TSBAccountDef\$, Base.TableDef.Columns("UID_ADSContainer"))

End If

В Account Definition поставить галки Retain

53) ITShop. Убрать стандартные продукты - создание AD групп

Надо в менеджере зайти в ITShop – Service Catalog - выбрать Service Item и установить для нее Not Available

54) Отображение истории перемещения из отдела в Manager.

Attestation CalcuIateRiskIndex ComplianceCheck @ Eset ITShop AutoCIoseInactivePerson @ AutoDecision AutoRemovaIScope [38] ChallengeRoIeRemovaI @ DaysOfVaIidlty Department @ Primary ITShopOrg Locality Org ProfitCenter AllStepsNoJump QER-ITSHOPORG-ROLE

Учетка переносится, если в Workflow CSV стоит DataImport. Но тогда не работало сохранение старой роли на n дней. Для решения надо зайти в Дизайнер - в таблицу Person - Table Script и в скрипте onSaved добавить Not перед CBool

S 10

54) ITShop. Не отправляются уведомления руководителю о необходимости рассмотреть запрос на продукт, который создал его подчиненный

Нужно, чтобы не стояла галка QER\ITShop\MailTemplateIdents\RequestApproverByCollection

QER\Attestation\MailTemplateIdents\RequestApproverByCollection

55) Сброс неудачных попыток входа пользователя

connect to back end of the database.

step1. get the UID_dialoguser

SELECT [UID_DialogUser]
,[UserName]
,[BadPasswordAttempts]
FROM [OneIMGDS].[dbo].[DialogUser]
where [UserName]='viadmin'

step 2. use the [UID_DialogUser] from above to set the BadPasswordAttempts to 0

UPDATE [dbo].[DialogUser]
SET [BadPasswordAttempts] = 0

WHERE [UID_DialogUser]='QBM-A60F9E5189134AFFB6711DFCBC3F260E'
GO

try login... good luck

https://www.oneidentity.com/community/identity-manager/f/forum/30063/user-account-is-locked---not-able-to-log-in/73579#73579

56) Сброс пароля viadmin

Access SQL Management Studio
Remove system user password by using following querie
1. Update DialogUser set password=[REDACTED] where username='viadmin'
Run following command to make to 0 for default password policy i.e ‘One Identity Manager password policy’
1. From 8x onwards, all users passwords should comply with password policy
1. Update QBMPwdPolicy set minlen=0 where DisplayName='%Globals.QIM_ProductNameShort% password policy'
1. So above statement updates default password policy minimum length 8 to 0
Then open Launch Pad and login with viadmin/no password.
After above steps and update Default Password Policy Minimum length to 8.

Минимальная длина = 8 символам

57) App сервер

При установке сертификата https - не заходит по dns имени.

Заходит по localhost

58) Процессы ITShop

На шаге процесса в Workflow где вычисляются согласующие - чтобы нужно было сделать решени всем - ставим Number of appreovers = +1

ITShop возможность заказывать продукты несколько раз

Надо Изменить тип ресурса на Multi-request resources

В меню Entitlements

Ошибка при задании поля у сотрудника

Write permission denied for value IsTemporaryDeactivated

Скорее всего - юзер задизаблен и надо проверять на это

Скрипт не вносит изменения при работе из Дизайнера

До конца не понятно, но проблема решается запуском скрипта, через задание, на JOB сервере.

Чтобы отправлялось одно письмо по согласованиям, а не несколько

QER\ITShop\MailTemplateIdents\RequestApproverByCollection

Создание PWO (PersonWantsOrg) из процесса

Лучше сначала его создать с портала и подсмотреть, какие параметры он прописывает

Зависла очередь dbqueue

Ппц, ничего не помогало, висели процессы Assignment

В итоге, после нескольких дней раздумий, почистил все записшие процессы - после этого очередь запустилась!

На всякий случай оставлю это здесь

Title
DBQueue Processor does not process tasks
Description
DBQueue Processor does not process tasks. No new tasks appear and/or existing tasks are not processing.

What troubleshooting steps exist to resolve this issue?

Resolution
Execute the following steps in the database using a suitable query tool, e.g. SQL Management Studio.

Stop all DBQueue Processor components.

exec QBM_PWatchDogPrepare 1

exec QBM_PDBQueuePrepare 1

Check whether other database sessions are active.

select *

from sys.sysprocesses p

where dbid = DB_ID()

and spid \<> @@SPID

If there are still sessions active, they must be closed first.

Create a new ServiceBroker ID and enable message delivery.

alter database \<database name> set NEW_BROKER

alter database \<database name> set enable_broker

Initializing the DBQueue Processor.

exec QBM_PDBQueuePrepare 0,1

exec QBM_PWatchDogPrepare

From \<https://support.oneidentity.com/identity-manager/kb/239099/dbqueue-processor-does-not-process-tasks>

И ещё - было очень много записей в статистике, таблица DialogDashBoardContent

Отключил расписание Calculate Statistics!

Отключил расписание Calculate weekly Statistics!

Перезапустил службу

Логи ошибок выполнения на SQL Server

Хранятся в таблице DialogJornal

Не перезаписываются поля таблиц

Надо проверить, что у Account Definition у Manage Level стоит IT operating data overwrites = Always

Значение values("SystemType") для AdHoc процессов

Можно найти в таблице DPRSchema

SQLAgent

https://support.oneidentity.com/identity-manager/kb/125598/sql-server-minimal-permissions-guide

Ошибка: Database error 41313: The C compiler encountered a failure. The exit code was 2.

Закончилось место для БД

Не отрабатывает метод MakeDecision

Getting error "This employee is not authorized to make approvals"in "MakeDecision" method. - Forum - Identity Manager Community - One Identity Community

В письме (шаблон) не корректно отображается HTML, который был сформирован, через скрипт

Then please take a look at the documentation here. https://support.oneidentity.com/technical-documents/identity-manager/8.1.3/operational-guide/13#TOPIC-1481201

You need to create a script that created your HTML code and returns this as a string parameter. To avoid the escaping of the script result, you need to tag the script call in your mal template with \$SCRIPT(\<Your script name>):HTML\$

From \<https://www.oneidentity.com/community/identity-manager/f/forum/32756/insert-html-in-mail-templates>

Параметры скриптов внутри почтовых уведомлений

https://support.oneidentity.com/technical-documents/identity-manager/8.1.3/operational-guide/13#TOPIC-1481199

Для уз AD не проходит проверку пароль или он не генерируется корректно

Для AD должна быть корректно настроена политика паролей.

Designer-> BaseData-> Security Settings -> Password policies

В вкладке Assignments должны быть назначения или на Account Definitions (TSBAccDef) или на весь домен (ADSDomain)

Если политика не будет назначена, то будет использоваться для генерации пароля политика с флагом - Default Policy и это может привести к ошибкам при сохранении в AD уз!!!

Чтобы пароль генерировался для уз должен быть установлен конфигурационный параметр

TargetSystem\ADS\Accounts\InitialRandomPassword

Не отображается меню Custom Target System в Manager

In the Designer, set the TargetSystem | UNS | CreateNewRoot configuration parameter and compile the database.

From \<https://www.oneidentity.com/community/identity-manager/f/forum/34048/how-can-i-enable-the-menu-custom-target-system/82977>

Keys	Action
`?`	Open this help
`n`	Next page
`p`	Previous page
`s`	Search