none
無法連接LDAP 驗證 RRS feed

  • 問題

  •  我們公司的ERP 是透過LDAP 驗證帳號,但最近一直無法驗證,出現無法連接LDAP 訊息
    使用LDAP BROWSER也無法連接驗證 ~ 不知道是什麼原因,不知各位先進是否有遇到相類似的問題
    我不知該從何查起...但工作端可以加入此網域...並驗證帳號登入

    2009年9月22日 下午 04:59

解答

  • 多謝 ~ 目前問題 仍未解決! 
    但已將複寫有問題的dc 移出網域...
    dc複寫的部份跟另一台dc無法複寫的話
    跟server版本 (windows sbs_2003) 版本有關係嗎?
    MaxPageSize這個屬性值為預設值: 1000

    使用ms tools ldp 出現 LdapErr: DSID-0C090627 此代碼為何種錯誤


    感謝Vincent Lin 我已找到問題 LDAP 已可以驗證  感恩
    • 已編輯 Y Hung 2009年10月7日 上午 10:56 已找到解答
    • 已標示為解答 Y Hung 2009年10月7日 上午 10:57
    2009年10月6日 上午 08:23
  • 應該不是造成無法連接LDAP的主因!! 另外想請教在GPO中,是否有安全性的設定會影響LDAP的驗證...是否可告知小弟讓我檢查一下GPO 
    因為沒人回我,所以我檢查了Group Policy Object 後發現
    因為委外的廠商修改了,default dc gpo 最後發現更改下面的gpo設定值如下 會導致ldap 認證 要求強認證
    所以導致無法連結ldap server, 將以下policy 改回預設值...即可  系統預設值: 尚未定義
    Domain controller: LDAP server signing requirements Require signing
    所以此問題 算是解決了 ....
    但執行ldp的工具 仍會出現 如下的錯誤訊息 不知道為什麼?!

    **Searching...
    ldap_search_s(ld, "CN=Configuration,DC=Contoso,DC=local", 2, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Operations Error. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:
    -----------
    * Use the Refresh button to load currently live enterprise configuration
    * Attention: This may take several minutes!
    ***Searching...
    ldap_search_s(ld, "CN=Schema,CN=Configuration,DC=Contoso,DC=local", 2, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Operations Error. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:
    • 已標示為解答 Vincent Lin 2009年10月8日 上午 10:25
    2009年10月8日 上午 10:20

所有回覆

  • 檢查看看DC本身是否有錯誤訊息
    如果不是AD正常而是ERP本身的問題時..可能就要請ERP廠商進行協助

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月23日 上午 06:18
  • 檢查看看DC本身是否有錯誤訊息
    如果不是AD正常而是ERP本身的問題時..可能就要請ERP廠商進行協助

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.




    使用 ldp 查詢 獲得以下訊息,
    **Searching...
    ldap_search_s(ld, "CN=Configuration,DC=Contoso,DC=local", 2, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Operations Error. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:
    -----------
    * Use the Refresh button to load currently live enterprise configuration
    * Attention: This may take several minutes!
    ***Searching...
    ldap_search_s(ld, "CN=Schema,CN=Configuration,DC=Contoso,DC=local", 2, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Operations Error. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:
    -----------
    請教各位先進 ~ 跟此問題相同嗎 !
    http://support.microsoft.com/kb/326690/zh-tw

    我查了不少資料在國外部份人員 有遇到此問題, LdapErr: DSID-0C090627, 但沒人提供解決方法 ... 有沒有先進,可以提供小弟KNOWHOW 目前看來應該是AD的LDAP有問題
    2009年9月24日 上午 02:16
  • 有可能是該KB所描述的狀況..請你操作看看..並將 DsHeuristics 此值改成 0000002
    假如你的ERP程式是透過匿名的方式去進行LDAP的操作的話..預設在Server 2003上面是不允許的

    2009年9月25日 上午 03:29
  • 所謂的匿名ldap 是 ....? 我們erp 是用 user 去做驗證
    因為別的dc 是可以進行驗證的 也是我們公司內的server
    也做過lap 將 erp server 加入網域 使用 doamin admin 進行
    驗證也是不行  ... 仍是相同的情形
    因為erp 主要出現訊息是 無法連接 ldap
    使用ldp 則會出現此訊息LdapErr: DSID-0C090627
    我查證敝公司的ldap並沒有DsHeuristics屬性
    2009年9月25日 上午 03:39
  • 你是透過下列方式檢查的嗎?該屬性應該是每台DC上面都有才對

    1.打開adsiedit.msc
    2.找到 Configuration -> CN=Configuration , DC=xxx ,DC=com -> CN=Services -> CN=Windows NT ->對CN=Directory Service點右鍵 ->內容
    3.在Attribute Editor下面的Attribute裡面..找尋 dSHeuristics 的屬性..並看看value是多少..預設應該是 Not Set
    4.如果是Not Set的話..請點下面的Edit..然後輸入 0000002 然後按確定 (假設原先只有001的話..請把他補足7碼然後最後一碼改成2)
    5.改完後可以手動進行AD複寫..確認該值有複寫到其他台DC上面
    6.在測試看看你的ERP程式
    2009年9月25日 上午 04:02
  • 改完屬性後 也確定有覆寫了~ 但在ldp 執行 bind user / 測試ldap
    ***Searching...
    ldap_search_s(ld, "CN=Configuration,DC=Contoso,DC=local", 2, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Unwilling To Perform. <53>
    Server error: 00002040: LdapErr: DSID-0C0906C9, comment: Operation not allowed through UDP, data 0, vece
    Result <53>: 00002040: LdapErr: DSID-0C0906C9, comment: Operation not allowed through UDP, data 0, vece
    Matched DNs:
    Getting 0 entries:
    -----------
    若一邊dc是 sbs2003 標準版 ,另一邊dc是win2003 sp2標準 會有關係嗎?!
    ...

    2009年9月25日 上午 06:04
  • 先將剛剛修改的選項改回沒有設定的狀況
    然後等待複寫完畢後..應該還是只有那一台DC沒有辦法驗證

    請檢查該台DC的下面機碼

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders 右邊的 SecurityProviders
    點兩下後檢查是否為 "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, pwdssp.dll" (沒有雙引號)


    另外檢察看看該台DC上面的事件檢視器..看看是否有其他錯誤訊息
    2009年9月25日 上午 07:10
  • 是每台dc 都沒法透過 ldap 讓erp 作使用者帳號的驗證
    剛看錯 ~
    檢查後與您上所提供的註冊機碼 相符

    • 已編輯 Y Hung 2009年9月25日 上午 08:03
    2009年9月25日 上午 07:45
  • 一般來說DC的機碼設定應該是上述那樣
    如果不是的話請將他改回來後重新開機試試看
    2009年9月25日 上午 08:01
  • 檢查後發現 登錄機碼沒有錯
    但是因為要使用ldp 及 erp 中的 ldap 認證
    卻出現無法連接dc的ldap
    但我們工作端的computer 可以加入網域
    doamin user 也可以驗證

    2009年9月25日 上午 08:27
  • 麻煩你幫我蒐集一些系統資訊讓我進行分析看看問題點在哪

    Microsoft Product Support Reports
    http://www.microsoft.com/downloads/details.aspx?familyid=cebf3c7c-7ca5-408f-88b7-f9c79b7306c0&displaylang=en

    執行時..會勾選要蒐集的項目..請全部勾選..最後結束時選擇儲存檔案..會產生一個.cab的壓縮檔
    再將檔案上傳到下面空間 (進入後直接輸入密碼)

    https://sftasia.one.microsoft.com/choosetransfer.aspx?key=556ed802-944b-4007-9ff9-0cc466e421f4

    密碼: gH*3G]qrf89Lr@

    2009年9月25日 上午 09:33
  • Dear Sir

    已完成ms report 上傳  ~ 感恩

    2009年9月28日 上午 03:26
  • 不好意思問一下..在蒐集完後你有刪除一些Eventlog的檔案嗎?

    如果有的話可能要麻煩你在重傳一次

    如果沒有的話..可能要麻煩你手動將事件檢視器裡面的所有Log點右鍵 -> 另存事件 , 然後打包壓縮在上傳一次
    2009年9月29日 上午 02:20
  • 沒有刪除Event Log ....已重新上傳
    再麻煩您了 ~

    2009年9月29日 上午 07:04
  • 想問一下這台DC "USA_DC02" 是有在正常運作的機器嗎?
    因為看到這台DC似乎跟其他DC的複寫是有問題的
    2009年9月29日 上午 09:33
  • 想問一下這台DC "USA_DC02" 是有在正常運作的機器嗎?
    因為看到這台DC似乎跟其他DC的複寫是有問題的


    這台DC 只是建來為了想讓ERP SERVER作LDAP 驗證才成為此樹系的DC
    不是主要的機器 !  不知您所指的覆寫有問題是 ~ ~?

    應該不是造成無法連接LDAP的主因!! 另外想請教在GPO中,是否有安全性的設定會影響LDAP的驗證...是否可告知小弟讓我檢查一下GPO

     

    • 已編輯 Y Hung 2009年9月29日 上午 10:08 修正內文
    2009年9月29日 上午 09:59
  • 在你上傳的DC事件紀錄 & MPSReport裡面
    1.Directory Service的紀錄內有大量的 NTDS KCC 1925的警告訊息
    2.而你可以在MPSReport裡面的Server Component -> SAPONE_DCDIAG.txt內發現下面錯誤訊息

    至於LDAP問題是否跟此複寫問題有關..我覺得是有可能的
    而且既然有錯誤..當然是建議可以解決比較好..畢竟複寫在AD環境內是挺重要的

    ------------------------------------------------------------
    The attempt to establish a replication link for the following writable directory partition failed.

    Directory partition:

    CN=Configuration,DC=XXX,DC=local

    Source domain controller:

    CN=NTDS Settings,CN=USA_DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=XXX,DC=local

    Source domain controller address:

    1473a7ca-39c5-41fc-93ce-758fea5862ef._msdcs.XXX.local

    Intersite transport (if any):

    This domain controller will be unable to

    replicate with the source domain controller until

    this problem is corrected. 

    User Action

    Verify if the source domain controller is

    accessible or network connectivity is available.

    Additional Data

    Error value:

    1753

    There are no more endpoints available from the endpoint mapper.

    2009年9月29日 上午 10:15
  • 建議你在USA那台DC上面執行 dcdiag -v > C:\dcdiag.txt
    然後將dcdiag.txt上傳上來看看

    另外確定一件事情
    你有透過Ntdsutil.exe去修改過MaxPageSize這個屬性嗎?

    How to view and set LDAP policy in Active Directory by using Ntdsutil.exe
    http://support.microsoft.com/kb/315071/en-us

    2009年9月30日 上午 09:01
  • 多謝 ~ 目前問題 仍未解決! 
    但已將複寫有問題的dc 移出網域...
    dc複寫的部份跟另一台dc無法複寫的話
    跟server版本 (windows sbs_2003) 版本有關係嗎?
    MaxPageSize這個屬性值為預設值: 1000

    使用ms tools ldp 出現 LdapErr: DSID-0C090627 此代碼為何種錯誤


    感謝Vincent Lin 我已找到問題 LDAP 已可以驗證  感恩
    • 已編輯 Y Hung 2009年10月7日 上午 10:56 已找到解答
    • 已標示為解答 Y Hung 2009年10月7日 上午 10:57
    2009年10月6日 上午 08:23
  • 結果問題是出在哪裡?

    2009年10月8日 上午 05:38
  • 應該不是造成無法連接LDAP的主因!! 另外想請教在GPO中,是否有安全性的設定會影響LDAP的驗證...是否可告知小弟讓我檢查一下GPO 
    因為沒人回我,所以我檢查了Group Policy Object 後發現
    因為委外的廠商修改了,default dc gpo 最後發現更改下面的gpo設定值如下 會導致ldap 認證 要求強認證
    所以導致無法連結ldap server, 將以下policy 改回預設值...即可  系統預設值: 尚未定義
    Domain controller: LDAP server signing requirements Require signing
    所以此問題 算是解決了 ....
    但執行ldp的工具 仍會出現 如下的錯誤訊息 不知道為什麼?!

    **Searching...
    ldap_search_s(ld, "CN=Configuration,DC=Contoso,DC=local", 2, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Operations Error. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:
    -----------
    * Use the Refresh button to load currently live enterprise configuration
    * Attention: This may take several minutes!
    ***Searching...
    ldap_search_s(ld, "CN=Schema,CN=Configuration,DC=Contoso,DC=local", 2, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Operations Error. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:
    • 已標示為解答 Vincent Lin 2009年10月8日 上午 10:25
    2009年10月8日 上午 10:20
  • 可以把你操作ldp.exe的動作描述一下嗎? (從打開ldp.exe開始,是否使用SSL加密等)
    還有之前是否有更改過 ldp.exe裡面的選項設定?
    2009年10月13日 上午 09:27
  • 沒有 ~ 執行ldp 連接到 hostname.FQDN 選項都沒勾選 或只勾選Connectionless
    或全選都是一樣
    開始->執行->
    連上後 選擇Browse -> Search BaseDN CN=Configuration,DC=XXXX,DC=com,DC=tw
    Filter (objectclass=*) Scope: 任何一項 都會出錯  Options 為預設值

    錯誤訊息如下:

    ***Searching...
    ldap_search_s(ld, "CN=Configuration,DC=XXXX,DC=com,DC=tw", 0, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: 操作錯誤. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:
    -----------
    ***Searching...
    ldap_search_s(ld, "CN=Configuration,DC=XXXX,DC=com,DC=tw", 1, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: 操作錯誤. <1>
    Server error: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Result <1>: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Matched DNs:
    Getting 0 entries:

    2009年10月14日 上午 01:56
  • 你沒有進行Bind的動作嗎?
    試試看下面流程

    1.打開ldp.exe
    2.Connection -> Connect -> 輸入 DC FQDN (右下角兩個都不勾) -> OK
    3.Connection -> Bind -> 勾選"Bind as currently logged on user" -> OK
    4.View -> Tree -> 下拉選單選擇 "CN=Configuration,DC=xxx,DC=com" 或是其他的..如沒出現就自行輸入 -> OK

    然後看看結果如何..正常的話左邊的部分就會出現東西可以點選查看

    2009年10月14日 上午 02:12