Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

Erreur PCNS 6032

La semaine dernière, un utilisateur a signalé qu'il avait réinitialisé son mot de passe, mais que celui-ci n'avait pas changé dans le système RH connecté.

Comme cela indique que le service de notification de changement de mot de passe (PCNS) ne fonctionnait pas, j'ai vérifié l'observateur d'événements sur le serveur du moteur de synchronisation. Bien que j'aie vu plusieurs ID d'événements indiquant que des battements de cœur étaient reçus des DC, il n'y avait pas d'ID d'événements 6903 au cours des dernières heures. 6903 est l'événement qui indique qu'une notification de mot de passe a été reçue du PCNS.

Pour une raison quelconque, les changements de mot de passe n'étaient pas envoyés au moteur de synchronisation.

Dans cet environnement, nous avons un flux de travail personnalisé qui permet au service d'assistance de réinitialiser le mot de passe d'un utilisateur. En activant la journalisation pour ce flux de travail, j'ai pu localiser le contrôleur de domaine auquel la demande de changement de mot de passe était envoyée. Avec l'aide d'un membre du groupe IT Ops, nous avons contrôlé ce contrôleur de domaine et vérifié que le service PCNS était en cours d'exécution.

Lorsque nous avons consulté l'observateur d'événements pour ce DC, il n'y avait aucun message PCNS, pas d'erreurs ou d'événements informatifs.

Un peu déconcertés à ce stade, nous avons redémarré le service PCNS et avons constaté une erreur 6032 - "La configuration du filtre pour la cible 'xxxxx' n'est pas valide. Ceci aura pour conséquence que TOUTES les notifications seront filtrées pour cette cible. Vérifiez que l'objet cible a des valeurs correctes pour les identifiants de sécurité (SID) d'inclusion et d'exclusion".

Cela semblait étrange, car cette configuration n'avait pas été modifiée depuis des mois. Le message semble indiquer que FIM n'a pu trouver ni le groupe d'inclusion ni le groupe d'exclusion.

Après avoir creusé un peu, nous avons découvert que le groupe d'exclusion était manquant. Il s'avère qu'au cours d'un processus de maintenance, tous les groupes sans membres ont été supprimés et il se trouve que le groupe d'exclusion était vide (nouvelle leçon apprise : toujours mettre une description dans les groupes d'inclusion et d'exclusion pour que les administrateurs sachent qu'il ne faut pas les supprimer - souvent, dans une grande organisation, tous les administrateurs ne savent pas à quoi sert le groupe).

Puisque nous n'avions pas besoin d'un groupe d'exclusion, nous avons essayé d'exécuter pcnscfg pour configurer PCNS de manière à ce qu'il n'ait pas besoin d'un groupe d'exclusion avec cette adresse command:

pcnscfg MODIFYTARGET /N:fimsyncsvc.domain.com /A:fimsyncsvc.domain.com /D:PCNSCLNT/fimsyncsvc.domain.com /FI : "Domain Users" /FE :

Le fait de laisser la valeur du paramètre /FE : vide devrait supprimer le groupe d'exclusion de la configuration, mais dans notre cas, nous avons obtenu une erreur indiquant que le nom ne pouvait pas être résolu.

Comme nous savions que le groupe d'exclusion était manquant, nous avons pensé qu'il essayait de trouver le groupe pour valider la modification afin de la supprimer.

Pour résoudre ce problème, nous avons créé un nouveau groupe de sécurité pour le groupe d'exclusion et nous avons exécuté le PCNSCFG command en spécifiant ce groupe. Je suppose que MODIFYTARGET command peut écraser la valeur du groupe d'exclusion même s'il ne peut pas résoudre le nom précédent, mais qu'il ne peut pas effacer la valeur du groupe d'exclusion dans ce cas.

Après avoir spécifié le nouveau groupe d'exclusion et redémarré le service, les synchronisations de mots de passe ont repris.

Comme cette erreur de configuration empêchait que tous les changements de mot de passe soient transmis à la cible, il n'y avait pas de file d'attente de demandes de changement de mot de passe à envoyer au serveur de synchronisation. Nous ne les avons donc vues arriver que lorsque les utilisateurs modifiaient à nouveau leur mot de passe.

Enfin, nous avons réexécuté le site command avec le paramètre /FE : vide, redémarré le service PCNS et les synchronisations de mots de passe se sont à nouveau déroulées, ce qui nous a permis de supprimer le groupe d'exclusion.