Fehlerbehebung bei der LDAP-Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Wenn Sie Ihren LDAP-Server integrieren und Fragen haben, können diese Elemente Ihnen bei der Behebung des Problems helfen.

    Vorabprüfungen

    • Wenn LDAP nicht verfügbar ist, können sich Benutzer nicht bei der Instanz anmelden. Es wird empfohlen, lokale Konten für Administratoren zu haben, damit Administratoren bei einem Ausfall des LDAP weiterhin auf die Instanz zugreifen können.
    • Überprüfen Sie das Servicekonto, um sicherzustellen, dass es nicht abgelaufen oder gesperrt ist.
    • Überprüfen Sie das Format des Benutzernamens. Anstatt nur den Benutzernamen zu verwenden, versuchen Sie es mit der Domäne mit dem Benutzernamen oder username@domain.
    • Vergewissern Sie sich, dass Sie den Eintrag system_id im Datensatz ldap_server_config geändert haben. Wenn Sie system_id unbeabsichtigt mit einem Update Set ändern, verweist system_id auf den falschen Knoten für die Zielinstanz und funktioniert nicht.

    Fehlercodes

    Die LDAP-Protokolldatei listet branchenübliche Fehlercodes für LDAP und Active Directory (AD) auf. Die LDAP-Protokolldatei ist in der Wrapper-Datei enthalten. Die LDAP-Fehlercodes sind zweistellige Nummern, während die Active Directory-Fehlercodes dreistellige Nummern sind. Eine Liste der häufigsten Fehlercodes finden Sie unter LDAP-Fehlercodes.

    Integration mehrerer Domänen

    Sie können mehrere Domänen innerhalb derselben Gesamtstruktur oder in vollständig nicht vertrauenswürdigen Domänen integrieren. Es wird empfohlen, für jede Domäne einen separaten LDAP-Serverdatensatz zu erstellen. Jeder LDAP-Serverdatensatz muss auf einen Domänencontroller für die angegebene Domäne verweisen. Das bedeutet, dass Sie Verbindungen zu jedem der Domänencontroller zulassen müssen. Mehrere AD-Gesamtstrukturen über LDAP mit einem LDAP-Account werden nicht unterstützt.

    Wenn Sie auf mehr als eine Domäne erweitern, ist es wichtig, eindeutige LDAP-Attribute für die Anwendungsbenutzernamen zu identifizieren und Zusammenfügungswerte zu importieren. Ein allgemeines eindeutiges Zusammenfügungsattribut für Active Directory ist objectSid. Eindeutige Benutzernamen variieren je nach LDAP-Datendesign. Allgemeine eindeutige Attribute sind „ email “ oder „userPrincipalName“.

    Eingehende Datensätze

    Unter LDAP-Transformationszuordnungen erfahren Sie, wie die Integration eingehende LDAP-Datensätze verarbeitet, bei denen übereinstimmende Werte in Referenzfeldern fehlen.

    Häufige Authentifizierungsfehler

    • Benutzer kann sich nicht anmelden (ungültiger DN)
    • Ungültige CN
    • Ungültige Verbindung

    Automatische LDAP-Verbindungstests

    Sie können Verbindungen zu LDAP-Servern manuell testen oder zulassen, dass ServiceNow die Verbindungen automatisch testet.

    Das System testet die Verbindung automatisch:
    • Jedes Mal, wenn ein Benutzer das LDAP-Serverformular öffnet.
    • Über die geplante Aufgabe „LDAP-Verbindungstest“, die standardmäßig alle 15 Minuten ausgeführt wird.

      Sie können ändern, wie oft diese regelmäßige Aufgabe ausgeführt wird. Wenn diese regelmäßige Aufgabe keine Verbindung herstellen kann, wiederholt eine neue einmalige regelmäßige Aufgabe den Verbindungstest entweder nach fünf Minuten oder nach der Hälfte des Werts für das Wiederholungsintervall in der geplanten Aufgabe, je nachdem, was zuerst eintritt.

    Fehlermeldungen werden im Formular angezeigt, wenn Probleme beim Herstellen der Verbindung mit dem LDAP-Server auftreten. Unterstützt werden auch Testverbindungen für Server hinter einem MID-Server.