Problembehandlung für LDAP-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Wenn Sie Ihren LDAP-Server integrieren und Fragen haben, können die folgenden Punkte Ihnen bei der Behebung des Problems helfen.

    Vorabschecks

    • Wenn LDAP nicht verfügbar ist, können sich Benutzer nicht bei der Instanz anmelden. Es empfiehlt sich, lokale Administratorkonten zu verwenden, damit Administratoren bei einem Ausfall von LDAP weiterhin auf die Instanz zugreifen können.
    • Überprüfen Sie den Serviceaccount, um sicherzustellen, dass er nicht abgelaufen oder gesperrt ist.
    • Überprüfen Sie das Format des Anwendernamens. Anstatt nur den Anwendernamen zu verwenden, versuchen Sie es mit der Domäne mit dem Anwendernamen oder mit der Domäne username@domain.
    • Stellen Sie sicher, dass Sie den Eintrag system_id im Datensatz ldap_server_config geändert haben. Wenn Sie system_id unbeabsichtigt mit einem Update Set ändern, verweist system_id auf den falschen Knoten für die Zielinstanz und funktioniert nicht.

    Fehlercodes

    Die LDAP-Protokolldatei listet branchenübliche Fehlercodes für LDAP und Active Directory (AD) auf. Die LDAP-Protokolldatei ist in der Wrapper-Datei enthalten. Die LDAP-Fehlercodes sind zweistellige Nummern, während die Active Directory-Fehlercodes dreistellige Nummern sind. Eine Liste der häufigsten Fehlercodes finden Sie unter LDAP-Fehlercodes.

    Integration mehrerer Domänen

    Sie können mehrere Domänen innerhalb derselben Gesamtstruktur oder in vollständig nicht vertrauenswürdigen Domänen integrieren. Es wird empfohlen, für jede Domäne einen separaten LDAP-Server-Datensatz zu erstellen. Jeder LDAP-Serverdatensatz muss auf einen Domänencontroller für die angegebene Domäne verweisen. Das bedeutet, dass Sie Verbindungen mit jedem der Domänencontroller zulassen müssen. Mehrere AD-Gesamtstrukturen über LDAP mit einem LDAP-Account werden nicht unterstützt.

    Wenn Sie auf mehr als eine Domäne erweitern, ist es wichtig, dass Sie eindeutige LDAP-Attribute für die Anwendungsanwendernamen und Importkoaleszenzwerte identifizieren. Ein allgemeines eindeutiges Zusammenfügungsattribut für Active Directory ist objectSid. Eindeutige Anwendernamen variieren je nach LDAP-Datendesign. Häufige eindeutige Attribute sind „email“ oder „userPrincipalName“.

    Eingehende Datensätze

    Unter LDAP-Transformationszuordnungen erfahren Sie, wie Sie festlegen, wie die Integration eingehende LDAP-Datensätze verarbeitet, für die keine übereinstimmenden Werte in Referenzfeldern vorhanden sind.

    Häufige Authentifizierungsfehler

    • Anwender kann sich nicht anmelden (ungültiger DN)
    • Ungültige CN
    • Ungültige Verbindung

    Automatische LDAP-Verbindungstests

    Sie können Verbindungen zu LDAP-Servern manuell testen oder zulassen, dass ServiceNow die Verbindungen automatisch testet.

    Das System testet die Verbindung automatisch:
    • Jedes Mal, wenn ein Benutzer das LDAP Server-Formular öffnet.
    • Über die geplante Aufgabe „LDAP-Verbindungstest“, die standardmäßig alle 15 Minuten ausgeführt wird

      Sie können ändern, wie häufig diese geplante Aufgabe ausgeführt wird. Wenn diese geplante Aufgabe keine Verbindung herstellen kann, wiederholt eine neue einmalige geplante Aufgabe den Verbindungstest entweder nach fünf Minuten oder nach der Hälfte des Werts für das Wiederholungsintervall in der geplanten Aufgabe, je nachdem, was zuerst eintritt.

    Fehlermeldungen werden im Formular angezeigt, wenn beim Herstellen der Verbindung mit dem LDAP-Server Probleme auftreten. Außerdem werden Testverbindungen für Server hinter einem MID-Server unterstützt.