Fehlerbehebung bei LDAP-Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Wenn Sie Ihren LDAP-Server integrieren und Fragen haben, können diese Elemente Ihnen bei der Behebung des Problems helfen.

    Vorläufige Prüfungen

    • Wenn LDAP nicht verfügbar ist, können sich Anwender nicht bei der Instanz anmelden. Eine gute Praxis ist es, lokale Accounts für Administratoren zu haben, damit Administratoren bei ausgefallenem LDAP weiterhin auf die Instanz zugreifen können.
    • Überprüfen Sie den Service-Account, um sicherzustellen, dass er nicht abgelaufen oder gesperrt ist.
    • Überprüfen Sie das Format des Anwendernamens. Anstatt nur den Anwendernamen zu verwenden, versuchen Sie, die Domäne mit dem Anwendernamen oder username@Domain zu verwenden.
    • Überprüfen Sie, ob Sie geändert haben System_ID Eintrag in ldap_Server_config Datensatz. Wenn Sie ändern System_ID Unbeabsichtigt mit einem Update-Satz System_ID Verweist auf den falschen Knoten für die Zielinstanz und funktioniert nicht.

    Fehlercodes

    Die LDAP-Protokolldatei listet Branchenstandard-Fehlercodes für LDAP und Active Directory (AD) auf. Die LDAP-Protokolldatei ist in der Wrapper-Datei enthalten. Die LDAP-Fehlercodes sind zweistellige Nummern, während die Active Directory-Fehlercodes dreistellige Zahlen sind. Eine Liste der häufigsten Fehlercodes finden Sie unter LDAP-Fehlercodes .

    Integration mehrerer Domänen

    Sie können mehrere Domänen innerhalb derselben Gesamtstruktur oder in vollständig nicht vertrauenswürdige Domänen integrieren. Es wird empfohlen, eine separate zu erstellen LDAP-Serverdatensatz Für jede Domäne. Jeder LDAP-Serverdatensatz muss auf einen Domänencontroller für die angegebene Domäne verweisen. Dies bedeutet, dass Sie Verbindungen zu jedem der Domänencontroller zulassen müssen. Mehrere AD-Gesamtstrukturen über LDAP mit einem LDAP-Account werden nicht unterstützt.

    Wenn Sie auf mehr als eine Domäne erweitern, ist es wichtig, dass Sie eindeutige LDAP-Attribute für die Anwendungsanwendernamen identifizieren und Zusammenfügungswerte importieren. Ein gemeinsames eindeutiges Zusammenfügungsattribut für Active Directory ist ObjektSid . Eindeutige Anwendernamen variieren je nach LDAP-Datendesign. Allgemeine eindeutige Attribute sind E-Mail Oder UserPrincipalName .

    Eingehende Datensätze

    Siehe LDAP-Transformationszuordnungen Legt fest, wie die Integration eingehende LDAP-Datensätze verarbeitet, denen in Referenzfeldern keine übereinstimmenden Werte fehlen.

    Allgemeine Authentifizierungsfehler

    • Anwender kann sich nicht anmelden (ungültiger DN)
    • Ungültige CN
    • Ungültige Verbindung

    Automatische LDAP-Verbindungstests

    Sie können Verbindungen zu LDAP-Servern manuell testen oder zulassen ServiceNow Um die Verbindungen automatisch zu testen.

    Das System testet die Verbindung automatisch:
    • Jedes Mal, wenn ein Anwender das LDAP-Server-Formular öffnet.
    • Über die geplante LDAP-Verbindungstest-Aufgabe, die standardmäßig alle 15 Minuten ausgeführt wird.

      Sie können ändern, wie oft diese geplante Aufgabe ausgeführt wird. Wenn mit dieser geplanten Aufgabe keine Verbindung hergestellt werden kann, wird der Verbindungstest nach fünf Minuten oder der Hälfte wiederholt Wiederholungsintervall Wert in der geplanten Aufgabe, je nachdem, was zuerst eintritt.

    Fehlermeldungen werden im Formular angezeigt, wenn Probleme beim Herstellen der Verbindung mit dem LDAP-Server auftreten. Ebenfalls unterstützt werden Testverbindungen für Server hinter einem MID-Server.