Benutzer per Policy in neue Vault verschoben: ID taucht nie in neuer Vault auf

[Tode]

Ausgangslage:
Wir haben hier eine "alte" Vault, für die aber die Vault ID verloren gegangen ist, so dass z.B. keine weiteren Vault- Server oder Vault- Admins hinzugefügt werden können.
Das ist nicht weiter schlimm (dachten wir): Es gibt auch eine "neue" Vault, in der sowieso die meisten Benutzer drin sind (verschiedene Standorte), und wir wollen das vereinfachen.
Also haben wir eine neue Policy erstellt, und den Benutzern zugewiesen, die auf die "neue" Vault verweist.

Erwartetes Ergebnis:
Die Clients ziehen die neue Policy und laden dann ihre ID in die neue Vault hoch.

Problem:
Das funktioniert in den meisten Fällen einwandfrei. Nur einige Clients ziehen die Policy mit der neuen Vault: bestätigt über VTName im Security Policy Dokument in der Ansicht ($Policies) des lokalen Adressbuches.
Aber unter Datei - Sicherheit - Benutzersicherheit bleibt die alte Vault stehen und die Clients laden nie (auch über Wochen hinweg) ihre ID in die Vault hoch.

Es gibt keinerlei Fehlermeldungen im Sicherheitslog auf dem Server oder Client, die ID wird einfach nicht hochgeladen.

Ich habe die üblichen ID Vault Debug Parameter am Client gesetzt:

DEBUG_IDV_TRACE=1
DEBUG_IDV_TRUSTCERT=1
DEBUG_IDVAULT_SERVER_SELECTION=1

Aber es erscheint einfach nichts in den Logs und nichts in der console.log

Hat mir jemand noch einen Ansatz für das Troubleshooting? Wie gesagt: Das Problem betrifft nur einige Benutzer, aber es ist schwierig, die herauszufinden. Außerdem haben wir bisher nur 2 Abteilungen der neuen Policy zugeordnet, und es stehen noch 2.000 User aus.
Problem: Im "täglichen Leben" fällt das nicht auf, erst wenn man einen neuen Client für den Benutzer aufsetzt, geht das nicht, weil die ID noch immer in der "falschen" Vault steht...

[CarstenH]

Hast du mal einen Blick ins DDM der/des Fault Server/s geworfen? Da kommen auch ganz gern hilfreiche Meldungen ala "ID failed to upload to vault" mit passender Begründung.

HTH
Carsten

[Tode]

ja, habe ich auch: Der Server meldet auch keinen Fehler... wie gesagt, der Client probiert gar keinen Upload: Der Client hat die "alte" Vault unter "Sicherheit" eingetragen, und dort ist die ID ja aktuell... Er probiert also gar nicht, die ID in die NEUE Vault hochzuladen, obwohl die Security Policy eindeutig auf die zeigt...

[CarstenH]

Versucht mal eine Änderung an einer der betroffenen IDs durchzuführen, PW Wechsel durch Nutzer selbst oder eine Rezertifizierung der ID.
Vielleicht fehlt den betreffenden Clients schlicht ein Upload Trigger.

HTH
Carsten

[Tode]

das könnte ich machen... problematisch ist nur, wenn ein solcher "Trigger" notwendig ist, dann müsste ich nach Umstellen der Policy 2.000 User rezertifizieren, nur um sicherzugehen dass wirklich jeder seine ID hochlädt... das würde ich wirklich ungern tun, ehrlich gesagt...

[CarstenH]

Es geht ja zuerst einmal darum die Ursache einzukreisen und/oder einen möglichen Workaround zu finden. Dafür reichen ja 2-3 Nutzer.

(ohne eure internen Abläufe genauer zu kennen behaupte ich mal dennoch, dass CA und AdminP mit den 2k Nutzern ganz gut klar kommen würden wenn das als Mittel zum Zweck hilfreich ist )

HTH
Carsten

[Tode]

Bin endlich dazu gekommen, das zu testen: Hatte 6 Benutzer, die auch nach 2 Wochen nicht in der Vault aufgetaucht sind. Habe dann 3 rezertifiziert, und diese sind jetzt tatsächlich in der richtigen Vault... also muss ich tatsächlich einen ID- Change anstossen, damit "erzwinge" ich einen Upload. Da hier SharedLogin im Einsatz ist, kann dieser Change halt leider kein Passwort- Wechsel sein.

Trotzdem danke, ich denke, damit können wir leben