主页 / unix / 问题 / 700610
Accepted
dr_
Asked: 2022-04-28 06:23:07 +0800 CST

如何解决 LDAP 错误 53 (WILL_NOT_PERFORM)?

  • 772

我正在尝试让 CentOS 7 服务器加入 AD,但会导致错误:

AD LDAP ERROR:53(服务器不愿意执行):0000216D:SvcErr:DSID-031A1241,问题5003(WILL_NOT_PERFORM),数据0

命令运行:

[root@myserver ~]# realm join --user='[email protected]' --computer-ou=OU=ABC,OU=Servers,OU=ACME,OU=Units,DC=example,DC=org example.org
Password for [email protected]:
See: journalctl REALMD_OPERATION=r12682208.2790
realm: Couldn't join realm: Joining the domain example.org failed

[root@myserver ~]# journalctl REALMD_OPERATION=r12682208.2790 --no-pager
-- Logs begin at Mon 2022-04-25 14:28:51 CEST, end at Tue 2022-04-26 13:51:12 CEST. --
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Resolving: _ldap._tcp.example.org
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Performing LDAP DSE lookup on: 10.1.1.1
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Performing LDAP DSE lookup on: 10.2.2.2
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Successfully discovered: example.org
Apr 26 13:49:08 myserver.example.org realmd[2794]:  * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
Apr 26 13:49:08 myserver.example.org realmd[2794]:  * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.HGKCL1 -U [email protected] ads join example.org createcomputer=Units/ACME/Servers/ABC
Apr 26 13:49:09 myserver.example.org realmd[2794]: Enter [email protected]'s password:ads_print_error: AD LDAP ERROR: 53 (Server is unwilling to perform): 0000216D: SvcErr: DSID-031A1241, problem 5003 (WILL_NOT_PERFORM), data 0
Apr 26 13:49:09 myserver.example.org realmd[2794]:
Apr 26 13:49:09 myserver.example.org realmd[2794]:
Apr 26 13:49:09 myserver.example.org realmd[2794]: Failed to join domain: failed to precreate account in ou ou=ABC,ou=Servers,ou=ACME,ou=Units,dc=example,dc=org: Server is unwilling to perform
Apr 26 13:49:09 myserver.example.org realmd[2794]:  ! Joining the domain example.org failed

使用的帐户有权将服务器添加到域。(在 MS Windows AD 上测试。)

--verbose选项realm不显示任何额外的有用信息。

我怎样才能找到问题的根源?

centos ldap

1 个回答

  1. Best Answer

    您遇到的错误来自 Active Directory 服务器本身。因此,详细的错误消息(如果存在)很可能位于 Active Directory 服务器上的“事件日志”中。

    您的错误的根本原因:

    这看起来像是您的 AD 服务器上的配置问题。“系统错误代码”0000216D记录在这里1

    ERROR_DS_MACHINE_ACCOUNT_QUOTA_EXCEEDED

    8557 (0x216D)

    您的计算机无法加入域。您已超过允许在此域中创建的最大计算机帐户数。请联系您的系统管理员以重置或增加此限制。

    AD 服务器默认配置为只允许 10 台机器(每个用户?)加入域。记录在这里

    MS-DS-Machine-Account-Quota 属性

    允许用户在域中创建的计算机帐户数。

    这可以重新配置。

    我不是 MS Windows 出口,所以我不能轻易地告诉你如何重新配置​​它......但互联网上有很多例子。你可以在谷歌上搜索上面的文字,或者试试这个:

    如何解决 LDAP 错误

    在 LDAP 中,大多数东西都是通过数字和OID来传达的。尽管有像您这样的错误消息,但要知道要搜索哪个号码可能会很棘手:

    AD LDAP ERROR: 53 (Server is unwilling to perform): 0000216D: SvcErr: DSID-031A1241, problem 5003 (WILL_NOT_PERFORM), data 0

    上面有四个数字可以搜索:

    • 53- 引用“服务器不愿意执行” - 这太笼统了,无法找到更多有用的信息。
    • 0000216D- 看起来像这里有详细记录的系统错误代码
    • DSID-031A1241- 我找不到对 DSID 含义的很好参考。它们似乎伴随着 AD 错误,但似乎没有记录在案。
    • 5003- 参考问题 WILL_NOT_PERFORM - 这太笼统了,无法找到更多有用的信息。

    1感谢 Simon Ren 在这里给出的回答方向

    • 3

相关问题