SharePoint 2013 User Profile Synchronization Service无法开启的解决方案

 

上述图片是SharePoint2013 User Profile Synchronization Service的组件，从图片中我们可以看到UserProfile是SharePoint User的Profile集合，这些Profile信息可以从ADService或者Business System中进行同步获取。

 

问题描述：很多企业用AD管理用户以及Profile信息，所以采用AD Sync的方式将User以及Profile同步到SharePoint中，但很多IT Administrator可能遇到的问题就是Services on Server中的SharePoint User Profile Synchronization Service无法开启，或者状态一直是Starting的状态，过了一段时间之后又Stopped。

 

 

User Profile Synchronization Service是否能成功Start，是受相关的Permission控制的，具体如下：

 

• Service Account是Farm Account
• Service Account需是开启User Profile Synchronization Service所在的Web Application Server的Local Administrator的Member
• Service Account在AD中需有Replicate Directory Changes权限
• 如果Domain Controller运行在Windows Server 2003上，Service Account需是Pre-Windows 2000 Compatible Access built-in Group的Member
• 如果Domain的NetBIOS Name与Fully-qualified Domain Name不同，需保证Service Account在cn=Configuration container有Replicate Directory Changes的权限
• 如果你想从SharePoint端往AD中导入User Profile的话，需保证Service Account在你想导入的AD->OU中有Create Child Objects和Write All Properties的权限

 

具体权限配置和验证步骤：

 

1. 验证User Profile Synchronization Service Account是否是Farm Account。
   1. SharePoint Central Administration->Security->Configure Service Accounts，切换到Farm Account，如下图所示：

 

 

2. Service Account在AD中需有Replicate Directory Changes权限
   1. 选择Active Directory Users and Computers，选择当前的Domain，右键选择Delegation of Control Wizard，输入Service Account，如下图所示：

 

2. 在Tasks to Delegate页面，选择Create a custom task to delegate，如下图所示：

 

 

3. 在Active Directory Object Type页面，选择This Folder，existing objects in this folder， and creation of new objects in this folder，如下图所示：

 

 

4. 在Permissions页面，勾选General，选择Replicating Directory Changes权限，如下图所示：

 

 

3. 如果Domain Controller运行在Windows Server 2003上，Service Account需是Pre-Windows 2000 Compatible Access built-in Group的Member。
   1. 在Domain Controller的机器上，选择AD Users and Computer，选择Domain->Built in，选择Pre-Windows 2000 Compatible Access built-in Group，右键Properties，添加Service Account。

 

 

4. 如果Domain的NetBIOS Name与Fully-qualified Domain Name不同，需保证Service Account在cn=Configuration container有Replicate Directory Changes的权限。
   1. 在Domain Controller机器上，run处输入adsiedit.msc，回车，如下图所示：

 

 

2. 点击ADSI Edit，connect to，如下图所示:

 

 

3. 在Connection Settings页面，选择Select a well known Naming Context下来菜单的Configuration，点击OK，如下图所示：

 

 

4. 展开Configuration节点，点击CN=Configuration…节点的Properties，如下图所示：

 

 

5. 点击Security，添加User，并赋予Replicating Directory Changes的权限，如下图所示：

 

 

5. 如果你想从SharePoint端往AD中导入User Profile的话，需保证Service Account在你想导入的AD->OU中有Create Child Objects和Write All Properties的权限

 

1. 在Domain Controller机器上，run处输入adsiedit.msc，回车，如下图所示：

 

 

2. 点击ADSI Edit，connect to，如下图所示:

 

 

3. 在Connection Settings页面，选择Select a well known Naming Context下来菜单的Default Naming Context，点击OK，如下图所示：

 

 

4. 展开Default Naming Contect节点，点击DC=SP…节点的Properties，如下图所示：

 

5. 选择想要从SP端导入AD的OU，点击Properties，添加Service Account，并赋予Create Child Objects和Write All Properties的权限，如下图所示：

 

所有Permission创建并验证完毕后，再到SharePoint管理中心的Services onServer端，重启User Profile Synchronization Service，开启此服务时间将花费近10分钟，是因为需要在Services中自动开启Forefront Identity Manager Service和Forefront Identity Manager Synchronization Service两个服务，注意此服务必须由User Profile Synchronization Service自动开启，不能人为手动开启，如下图所示：

 

 

上述服务开启成功后，UserProfile Synchronization Service也能顺利开启。

 

希望本篇文章能给大家带来帮助。