NetWorker:AD/LDAP統合が一般的なLDAPエラー コードで失敗する[LDAP:エラー コード49]
Summary: このKBでは、AD LDAP外部認証の構成時に指定されたフィールドに関する問題を示す一般的なLDAPエラー コードについて説明します。これらは通常、[LDAP:エラー コード49]の後に表示されます
Symptoms
AD LDAP外部認証の構成時に指定されているフィールドの問題を示す一般的なLDAPエラー コードがいくつかあります。Example:
コマンドの実行中にエラーが発生しました。失敗:400 Bad Request。サーバー メッセージ: 構成 構成名の確認に失敗しました。ネーム サービスまたはディレクトリ サービスへのアクセス中に認証エラーが発生しました。[LDAP: error code 49 - 80090308: LdapErr: DSID-0C0903A9、コメント: AcceptSecurityContext error, data 52e, v1db1]
上記のAD固有のエラー コードがハイライト表示されています。次のリストには、一般的なコードとその意味が含まれています。
525 - ユーザーが見つかりません。
52e -認証情報が無効です。
530 - 現時点ではログオンできません。
531 - このワークステーションでログオンすることはできません。
532 - パスワードの有効期限が切れています。
533 - アカウントが無効です。
534 - ユーザーには、このマシンで要求されたログオン タイプが付与されていません。
701 - アカウントの有効期限が切れています。
773 - ユーザーはパスワードをリセットする必要があります。
775 - ユーザー アカウントがロックされています。
一般的なActive Directory LDAPバインド エラー:
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 525, v893
HEX: 0x525 - ユーザーが12月に見つかりません
: 1317 - ERROR_NO_SUCH_USER(指定されたアカウントは存在しません。
メモ: ユーザー名が無効な場合に返します。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 52e, v893
HEX: 0x52e - 無効な認証情報
DEC: 1326 - ERROR_LOGON_FAILURE(ログオン失敗:不明なユーザー名または不正なパスワード)
メモ: ユーザー名は有効ですが、パスワード/資格情報が無効な場合に返されます。他のほとんどのエラーが表示されないようにします。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 530, v893
HEX: 0x530 - 12月の現時点
ではログオンできません。1328 - ERROR_INVALID_LOGON_HOURS(ログオン失敗:アカウントログオン時間制限違反)
メモ: 有効なユーザー名とパスワード/認証情報が表示された場合にのみ返されます。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 531, v893
HEX: 0x531 - このワークステーション
からのログオンは12月に許可されていません。1329 - ERROR_INVALID_WORKSTATION(ログオン失敗:ユーザーはこのコンピューターにログオンできません。)
LDAP[userWorkstations: <ワークステーション名>の複数値リスト]
注: 有効なユーザー名とパスワード/認証情報が表示された場合にのみ返されます。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 532, v893
HEX: 0x532 - パスワードの有効期限が切れた
DEC: 1330 - ERROR_PASSWORD_EXPIRED(ログオン失敗:指定されたアカウントパスワードの有効期限が切れています。)
LDAP[userAccountControl: <bitmask=0x00800000>] - PASSWORDEXPIRED
注: 有効なユーザー名とパスワード/認証情報が表示された場合にのみ返されます。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 533, v893
HEX: 0x533 - アカウントが12月に無効:
1331 - ERROR_ACCOUNT_DISABLED(ログオン失敗:アカウントは現在無効になっています。)
LDAP[userAccountControl: <bitmask=0x00000002>] - ACCOUNTDISABLE
注: 有効なユーザー名とパスワード/認証情報が表示された場合にのみ返されます。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 701, v893
HEX: 0x701 - アカウントの有効期限が切れた
DEC: 1793 - ERROR_ACCOUNT_EXPIRED(ユーザーのアカウントの有効期限が切れています。)
LDAP[accountExpires: <value of -1, 0, or extemely large value indicates account will not expire>] - ACCOUNTEXPIRED
注: 有効なユーザー名とパスワード/認証情報が表示された場合にのみ返されます。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 773, v893
HEX: 0x773 - ユーザーは、DECのパスワード
をリセットする必要があります。1907 - ERROR_PASSWORD_MUST_CHANGE(初めてログオンする前にユーザーのパスワードを変更する必要があります。
LDAP[pwdLastSet: <値0は、管理者が必要とするパスワードの変更>を示します] - MUST_CHANGE_PASSWD
メモ: 有効なユーザー名とパスワード/認証情報が表示された場合にのみ返されます。
80090308: LdapErr: DSID-0C09030B、コメント: AcceptSecurityContext error, data 775, v893
HEX: 0x775 - 12月にロックアウトされた
アカウント: 1909 - ERROR_ACCOUNT_LOCKED_OUT(参照先のアカウントは現在ロックアウトされており、 にログオンできない場合があります)。
LDAP[userAccountControl: <bitmask=0x00000010>] - ロックアウト
注: 無効なパスワードが表示された場合でも返されます
Cause
Resolution
Windows Server:
構文:Get-ADUser -Filter * -SearchBase "DC=DOMAIN,DC=DOMAIN" |findstrユーザー名
例:
PS C:\Users\Administrator> Get-ADUser -Filter * -SearchBase "DC=emclab,DC=local" | findstr Administrator
DistinguishedName : CN=Administrator,CN=Users,DC=emclab,DC=local
名前:管理者
SamAccountName : Administrator
Linuxサーバー:
構文: ldapsearch -x -h LDAP_SERVER -D "DOMAIN\AD_BIND_USER" -W cn=AD_BIND_USER -b DC=DOMAIN,DC=DOMAIN | grep dn
例:
[root@rhel7 ~]# ldapsearch -x -h winsrvr2k16.emclab.local -D "emclab\Administrator" -W cn=Administrator -b DC=emclab,DC=local | grep dn
LDAPパスワードdn
の入力: CN=Administrator,CN=Users,DC=emclab,DC=local
外部機関を追加する場合は、対応するコマンド出力に示すようにDNをconfigユーザーとして使用します。