0

最近、host1 と host2 の 2 つの AD と対話するアプリケーションと対話する必要がありました。ホストの 1 つに接続するときに LDAP 接続が失敗していることがわかりました。エラーは次のようになります。

「LDAP://[host1]/RootDSE」への接続に失敗しました。
System.DirectoryServices.DirectoryServicesCOMException (0x8007052E):
ログオンに失敗しました: 不明なユーザー名またはパスワードが正しくありません。

トラブルシューティングの目的で、Apache Directory ツールとさまざまな CN/DN の組み合わせをインストールしました。私の所見は次のとおりです。

  1. CN (この場合はAdministrator) /[パスワード] を使用して host1 に接続すると、ベース DN をフェッチするときに次のエラーが発生します。

    ベース DN の取得中にエラーが発生しました
    [LDAP: エラー コード 49 - 80090308: LdapErr: DSID-0C0903A9、コメント: AcceptSecurityContext エラー、データ 52e、v1db1

  2. 管理者の識別名と同じパスワードを使用して host1 に接続すると、ベース DN を正常に取得できます

  3. AdministratorCN (再び) /だけで host2 に接続すると、ベース DN のリストを正常に取得できます。

私の質問は、完全な DN の代わりに CN のみを使用して認証を許可するように設定できる AD 設定はありますか?

私は AD にまったく慣れていないので、同様の問題をブラウジングしている人々にとってより良いものにするために質問で提供できることがあれば、お知らせください。ありがとう。

4

1 に答える 1

1

host1 と host2 とは何ですか? 同じドメインの異なるドメイン コントローラー (DC) ですか、それとも異なるドメインのドメインですか? あなたが説明していることから、それらが異なるドメイン用であるように見える場合、host2 は単に異なるパスワードを持つ異なる管理者を持っています。

あなたの質問に直接答えるために。AD は、指定された CN が一意である場合にのみ、ユーザー ログオンに CN を使用することを許可します。したがって、そのための構成を行う必要はありません。

ただし、AD にログインする方法は他にもいくつかあります。ユーザーの属性を使用できsAMAccountNameますuserPrincipalName。これらには、ユーザーのユーザー名が含まれています。最初のものには からのユーザー名が含まれておりDOMAIN\username、ここでDOMAINは AD の NetBIOS ドメイン名です (正確な用語かどうかはわかりませんが、より適切でないために使用しています)。2 番目の属性には、ユーザー名が の形式username@example.comで含まれます。example.com通常、 は AD の DNS ドメイン名です (異なる場合もあります)。

したがって、DN よりも短いものを検索する場合は、上記のいずれかを使用してください。

于 2013-02-11T09:32:17.100 に答える