如何解决 LDAP 错误 53 (WILL_NOT_PERFORM)？

2024-6-10 • tag-icon

centos ldap active-directory

如何解决 LDAP 错误 53 (WILL_NOT_PERFORM)？

我试图让 CentOS 7 服务器加入 AD，但结果出现错误：

AD LDAP ERROR：53（服务器不愿意执行）：0000216D：SvcErr：DSID-031A1241，问题 5003（WILL_NOT_PERFORM），数据 0

命令运行：

[root@myserver ~]# realm join --user='[email protected]' --computer-ou=OU=ABC,OU=Servers,OU=ACME,OU=Units,DC=example,DC=org example.org
Password for [email protected]:
See: journalctl REALMD_OPERATION=r12682208.2790
realm: Couldn't join realm: Joining the domain example.org failed

[root@myserver ~]# journalctl REALMD_OPERATION=r12682208.2790 --no-pager
-- Logs begin at Mon 2022-04-25 14:28:51 CEST, end at Tue 2022-04-26 13:51:12 CEST. --
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Resolving: _ldap._tcp.example.org
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Performing LDAP DSE lookup on: 10.1.1.1
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Performing LDAP DSE lookup on: 10.2.2.2
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Successfully discovered: example.org
Apr 26 13:49:08 myserver.example.org realmd[2794]:  * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
Apr 26 13:49:08 myserver.example.org realmd[2794]:  * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.HGKCL1 -U [email protected] ads join example.org createcomputer=Units/ACME/Servers/ABC
Apr 26 13:49:09 myserver.example.org realmd[2794]: Enter [email protected]'s password:ads_print_error: AD LDAP ERROR: 53 (Server is unwilling to perform): 0000216D: SvcErr: DSID-031A1241, problem 5003 (WILL_NOT_PERFORM), data 0
Apr 26 13:49:09 myserver.example.org realmd[2794]:
Apr 26 13:49:09 myserver.example.org realmd[2794]:
Apr 26 13:49:09 myserver.example.org realmd[2794]: Failed to join domain: failed to precreate account in ou ou=ABC,ou=Servers,ou=ACME,ou=Units,dc=example,dc=org: Server is unwilling to perform
Apr 26 13:49:09 myserver.example.org realmd[2794]:  ! Joining the domain example.org failed

使用的帐号有权限向域中添加服务器。（在 MS Windows AD 上测试。）

选项--verbose不realm显示任何其他有用的信息。

我怎样才能找到问题的根源？

答案1

您遇到的错误来自 Active Directory 服务器本身。因此，详细错误消息（如果存在）很可能位于 Active Directory 服务器上的“事件日志”中。

您的错误的根本原因：

这看起来像是 AD 服务器上的配置问题。 “系统错误代码”0000216D已记录这里¹：

ERROR_DS_MACHINE_ACCOUNT_QUOTA_EXCEEDED

8557（0x216D）

您的计算机无法加入域。您已超出允许在此域中创建的计算机帐户的最大数量。请联系您的系统管理员重置或增加此限制。

默认情况下，AD 服务器配置为仅允许 10 台计算机（每个用户？) 加入域。记录在案这里：

MS-DS-机器-帐户-配额属性

允许用户在域中创建的计算机帐户的数量。

这可以重新配置。

我不是 MS Windows 导出人员，所以我无法轻易告诉您如何重新配置它......但互联网上有很多示例。你可以在谷歌上搜索上面的文字，或者尝试一下这个：

https://niallbrady.com/2019/02/21/how-to-fix-exceeded-the-maximum-number-of-computer-accounts-allowed-to-create-in-this-domain/

如何解决 LDAP 错误

在 LDAP 中，大多数事物都是通过数字来传达的奥德s。尽管出现像您这样的错误消息，但要知道要搜索哪个号码可能会很棘手：

AD LDAP ERROR: 53 (Server is unwilling to perform): 0000216D: SvcErr: DSID-031A1241, problem 5003 (WILL_NOT_PERFORM), data 0

上面有四个数字可供搜索：

53- 引用“服务器不愿意执行” - 这太笼统，无法找到更多有用的信息。
0000216D- 看起来像有详细记录的系统错误代码这里
DSID-031A1241- 我找不到关于 DSID 含义的很好的参考。它们似乎与 AD 错误有关，但似乎没有记录。
5003- 引用问题 WILL_NOT_PERFORM - 这太笼统，无法找到更多有用的信息。

¹感谢 Simon Ren 在回答中的指导这里

相关内容