NetWorker. Сбой интеграции AD/LDAP с общими кодами ошибок LDAP [LDAP: код ошибки 49]
Summary: В этой статье базы знаний описаны некоторые распространенные коды ошибок LDAP, которые указывают на проблему с полями, указанными при попытке настройки внешней аутентификации AD LDAP. Обычно они появляются после [LDAP: код ошибки 49] ...
Symptoms
Существует несколько распространенных кодов ошибок LDAP, которые указывают на проблему с полями, указанными при попытке настройки внешней аутентификации AD LDAP. Пример.
Ошибка при выполнении команды. Сбоя: Неверный запрос 400. Сообщение сервера: Не удалось проверить имя конфигурации конфигурации: При доступе к службе именования или каталога произошла ошибка аутентификации: [LDAP: код ошибки 49 - 80090308: LdapErr. DSID-0C0903A9, комментарий: AcceptSecurityContext error, data 52e, v1db1]
Код ошибки для AD выделен выше. Следующий список содержит некоторые распространенные коды и их значение:
525 — пользователь не найден.
52e — недопустимыеучетные данные.
530 — в настоящее время вход в систему не разрешен.
531 — не допускается вход на эту рабочую станцию.
532 — срок действия пароля истек.
533 — учетная запись отключена.
534 — пользователю не предоставлен запрос на тип входа на этом компьютере.
701 — срок действия учетной записи истек.
773 — пользователь должен сбросить пароль.
775 — учетная запись пользователя заблокирована.
Распространенные ошибки привязки LDAP в Active Directory:
80090308: LdapErr. DSID-0C09030B, комментарий: AcceptSecurityContext error, data 525, v893
HEX: 0x525 — пользователь не найден
DEC: 1317 — ERROR_NO_SUCH_USER (указанная учетная запись не существует).
ПРИМЕЧАНИЕ. Возвращается, если имя пользователя недействительно.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, data 52e, v893
HEX: 0x52e — недопустимые учетные данные
DEC: 1326 — ERROR_LOGON_FAILURE (сбой входа: неизвестное имя пользователя или неверный пароль).
ПРИМЕЧАНИЕ. Возвращается, когда имя пользователя действительно, но пароль/учетные данные недопустимы. Предотвратит отображение большинства других ошибок, как отмечено.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, данные 530, v893
HEX: 0x530 — на данный момент
не разрешен вход в систему DEC: 1328 — ERROR_INVALID_LOGON_HOURS (сбой входа в систему: нарушение ограничения времени входа в учетную запись).
ПРИМЕЧАНИЕ. Возвращается только при наличии действительного имени пользователя и пароля/учетных данных.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, данные 531, v893
HEX: 0x531 — не разрешен вход
с этой рабочей станции DEC: 1329 — ERROR_INVALID_WORKSTATION (сбой входа: пользователю не разрешен вход на этот компьютер).
LDAP[userWorkstations: <многоценный список имен рабочих станций>]
ПРИМЕЧАНИЕ. Возвращается только при наличии действительного имени пользователя и пароля/учетных данных.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, данные 532, v893
HEX: 0x532 — срок действия пароля истек
: DEC: 1330 — ERROR_PASSWORD_EXPIRED (ошибка входа в систему: истек срок действия указанного пароля учетной записи).
LDAP[userAccountControl: <bitmask=0x00800000>] - PASSWORDПОДРОБНОЕ
ПРИМЕЧАНИЕ. Возвращается только при наличии действительного имени пользователя и пароля/учетных данных.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, данные 533, v893
HEX: 0x533 — учетная запись отключена
DEC: 1331 — ERROR_ACCOUNT_DISABLED входа (сбой входа: учетная запись в данный момент отключена).
LDAP[userAccountControl: <bitmask=0x00000002>] — ACCOUNTDISABLE
ПРИМЕЧАНИЕ. Возвращается только при наличии действительного имени пользователя и пароля/учетных данных.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, data 701, v893
HEX: 0x701 — срок действия учетной записи
истек: DEC: 1793 « ERROR_ACCOUNT_EXPIRED (срок действия учетной записи пользователя истек).
LDAP[accountExpires: <value of -1, 0, or extemely large value indicates account will not expire>] - ACCOUNTEXPIRED
ПРИМЕЧАНИЕ. Возвращается только при наличии действительного имени пользователя и пароля/учетных данных.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, data 773, v893
HEX: 0x773 — пользователь должен сбросить пароль
DEC: 1907 ERROR_PASSWORD_MUST_CHANGE (пароль пользователя необходимо изменить перед первым входом в систему).
LDAP[pwdLastSet: <значение 0> указывает на изменение пароля, требуемого администратором
] — MUST_CHANGE_PASSWD ПРИМЕЧАНИЕ. Возвращается только при наличии действительного имени пользователя и пароля/учетных данных.
80090308: LdapErr. DSID-0C09030B, комментарий: Ошибка AcceptSecurityContext, data 775, v893
HEX: 0x775 — учетная запись заблокирована
DEC: 1909 — ERROR_ACCOUNT_LOCKED_OUT (эта учетная запись в данный момент заблокирована и может не войти в систему).
LDAP[userAccountControl: <bitmask=0x00000010>] — LOCKOUT
ПРИМЕЧАНИЕ. Возвращается, даже если отображается неверный пароль
Cause
Resolution
Windows Server:
Синтаксис: Get-ADUser -Filter * -SearchBase "DC=DOMAIN,DC=DOMAIN" | findstr имя
пользователя Пример:
PS C:\Users\Administrator> Get-ADUser -Filter * -SearchBase "DC=emclab,DC=local" | findstr Administrator
DistinguishedName : CN=Administrator,CN=Users,DC=emclab,DC=local
Имя: Имя
администратора SamAccountName: Администратор
Сервер Linux:
Синтаксис: ldapsearch -x -h LDAP_SERVER -D "DOMAIN\AD_BIND_USER" -W cn=AD_BIND_USER -b DC=DOMAIN,DC=DOMAIN | grep dn
Пример:
[root@rhel7 ~]# ldapsarch -x -h winsrvr2k16.emclab.local -D "emclab\Administrator" -W cn=Administrator -b DC=emclab,DC=local | grep dn
Введите пароль LDAP:
dn: CN=Administrator,CN=Users,DC=emclab,DC=local
При добавлении внешних полномочий используйте DN, как показано в выходных данных соответствующей команды, в качестве пользователя конфигурации.
Additional Information
Networker: Сбой интеграции AD/LDAP с ошибкой LDAP 49 Data 52e (недопустимые учетные данные) HTTP 400