LDAP故障排除

如果遇到LDAP方面的问题，可以查看设置此事件源的常见问题，以帮助诊断问题。默认情况下，LDAP事件源每24小时只轮询一次，即使在编辑配置后停止并重新启动该源。

因此，通过为每个连接尝试创建新来源，最容易解决LDAP，这将轮询LDAP立即轮询LDAP，从而在大约一分钟内成功或错误消息。

LDAP问题分为两类：

• 连接错误
• 低用户数量

连接错误

以下是LDAP连接错误的通用代码：

• 结果代码8强大的验证需要
• 结果码12关键扩展不可用
• 结果代码32没有这样的对象
• 结果代码49无效凭据
• 结果代码91连接错误

需要LDAP服务器8强身份验证的结果代码

如果您看到此错误，请检查您是否正在使用过期的证书。

LDAP服务器12的结果代码不可用关键扩展

如果您在InsightIDR主页上看到“不可用的关键扩展错误”，或者在“用户”指标下看到的用户少于预期，则默认的基本DN可能没有指向LDAP树中的右根节点。

要为基本DN查找适当的根节点，请按照说明进行操作在这里。

来自LDAP服务器32的结果代码没有此类对象

如果您看到一个声明“没有这样的对象”的错误，或者如果您在LDAP数据中看到的用户比预期的要少，那么您的用户概要文件可能存储在组织单元(ou)中，而不是存储在容器中。为了解决这个问题，看如何找到Windows域的基础DN。

来自LDAP服务器49的结果代码无效凭据

如果收到“无效凭据错误”，则事件源配置中提供的用户名和密码无法正确地向LDAP服务器进行身份验证。

要解决此错误，请尝试以下操作：

• 确认您试图进行身份验证的帐户具有执行LDAP查询的适当权限。
• 确保“用户域”字段包含短期或“2000年前”格式的正确名称。例如，如果您的登录域和名称是ACME\JohnSmith， 然后acme.将是用户域。
• 验证您用于配置事件源的LDAP凭据是否处于下级别登录名格式：域\用户名。验证或更改此，请转至凭证设置并编辑指定的凭据。

结果代码从LDAP服务器91(连接错误)

如果您看到一个错误，其内容为“未能在端口389或636上创建连接”，则收集器主机无法访问事件源配置中指定的LDAP服务器。

要解决此问题，请尝试以下操作：

• 配置LDAP事件源时，请确保收集器可以使用本地DNS解析服务器主机。如果无法解析主机，请输入LDAP服务器的IP地址来代替主机名。
• 如果采集器可以解析主机，但错误仍然存在，则可能存在通过LDAP(端口389)或安全LDAP(端口636)的连接问题。调整防火墙或路由规则，允许采集器和LDAP服务器通过389端口或636端口进行通信。

低用户数量

如果您发现InsightIDR在主页上只显示了很少的用户数量，那么您可能遇到了LDAP事件源的问题。当Collector轮询LDAP以获取用户帐户信息时，它可能无法读取域中的所有用户。

要解决此问题，请尝试以下解决方案：

• 在LDAP事件源中，验证为域指定的值是正确的Base DN。看到如何查找Base DN了解更多信息。
• 如果您验证了基本DN是否正确，但在“用户和帐户”页面上仍然看到低用户帐户，请使用基本DN字段中的相应OU值为域的每个OU添加一个LDAP事件源。
• 验证用于LDAP事件源的凭据是否具有访问和读取域中用户和组对象的所有字段属性的权限。如果没有权限，InsightIDR将无法创建相应的用户帐号记录。
• 验证收集器是否可以找到用户域字段中列出的Windows域的LDAP引用点。如果不能，请在用户域字段中使用Windows域的“short”或“pre-2000”名称，而不是使用FQDN。
• 验证收集器是否可以从指定的域控制器读取所有用户对象。如果不能，请指定一个不同于您在事件源的服务器字段中使用的域控制器。