LDAP 統合をトラブルシューティングする
LDAP サーバーを統合する際に質問がある場合は、以下のアイテムが問題のトラブルシューティングに役立つ可能性があります。
予備チェック
- LDAP が利用できない場合、ユーザーはインスタンスにログインできません。LDAP が停止した場合でもアドミニストレーターがインスタンスにアクセスできるように、アドミン用のローカルアカウントを用意することをお勧めします。
- サービスアカウントが期限切れになっていないか、またはロックアウトされていないかを確認します。
- ユーザー名の形式を確認してください。ユーザー名のみを使用する代わりに、ユーザー名とドメイン (ユーザー名@ドメイン) を使用してみてください。
ldap_server_configレコードのsystem_idエントリを変更したことを確認します。更新セットを使用して意図せずsystem_idを変更すると、system_idはターゲットインスタンスの間違ったノードを指し示し、機能しません。
エラーコード
LDAP ログファイルには、LDAP と Active Directory (AD) の両方の業界標準エラーコードが一覧表示されます。LDAP ログファイルはラッパーファイルに含まれています。LDAP エラーコードは 2 桁の数字ですが、Active Directory のエラーコードは 3 桁の数字です。最も一般的なエラーコードのリストについては、「LDAP エラーコード」を参照してください。
複数のドメインを統合する
同じフォレスト内または完全に信頼されていないドメイン内で複数のドメインを統合できます。ドメインごとに個別の LDAP サーバーレコードを作成することをお勧めします。各 LDAP サーバーレコードは、指定されたドメインのドメインコントローラーを指す必要があります。これは、各ドメインコントローラーへの接続を許可する必要があることを意味します。1 つの LDAP アカウントでの LDAP による複数の AD フォレストはサポートされていません。
複数のドメインに展開する場合は、アプリケーションのユーザー名に一意の LDAP 属性を特定し、結合値をインポートすることが重要です。Active Directory の一般的な一意の結合属性は objectSid です。一意のユーザー名は、LDAP データ設計によって異なります。一般的な一意の属性は email または userPrincipalName です。
受信レコード
参照フィールドで一致する値が欠落している受信 LDAP レコードを統合で処理する方法を設定するには、「LDAP 変換マップ」を参照してください。
一般的な認証エラー
- ユーザーがログインできない (無効な DN)
- 無効な CN
- 無効な接続
自動 LDAP 接続テスト
LDAP サーバーへの接続を手動でテストすることも、ServiceNow で自動的に接続をテストすることもできます。
- ユーザーが [LDAP サーバー] フォームを開くたびに行われます。
- デフォルトで 15 分ごとに実行される LDAP 接続テストのスケジュール済みジョブを使用します。
このスケジュール済みジョブの実行頻度は変更できます。このスケジュール済みジョブが接続を確立できない場合、新しい 1 回限りのスケジュール済みジョブによって、5 分またはスケジュール済みジョブの [繰り返し間隔] 値の半分のいずれか早い時点で接続テストが再試行されます。