我的企业最近转向了 Active Directory,并希望我们的邮件服务器能够复制 AD 帐户。域控制器和邮件服务器都运行 Windows Server 2012,并且我们正在为邮件服务器使用 MDaemon。事情变得奇怪的地方是:我尝试了 Alt-N 的文档但我只能手动同步账户。
我可以使用 LDAP 搜索过滤器来正确识别我想要复制的帐户,甚至可以使用“立即执行 Active Directory 扫描”功能按预期更新我的所有帐户。
但是,如果我尝试启用 Active Directory 监控,则帐户不会更新,并且邮件服务器日志中充满了错误,提示“AD 错误:1355 - 指定的域不存在或无法联系。”这很奇怪,因为它显然可以联系域进行 LDAP 搜索和强制帐户查询。
我尝试过的事情:
- 关闭 DC 和邮件服务器上的防火墙
- 将邮件服务器绑定到AD
- 将域和 DC 的登录凭据添加到邮件服务器的凭据管理器
- 将邮件服务器加入域后,允许将其委派给任何服务
我还检查了邮件服务器和 DC 上的事件查看器日志。在邮件服务器上,每次尝试同步时都会创建一个新事件,显示用户名和域登录尝试(但我无法确定登录是否成功),并且我看不到 DC 端的邮件服务器日志。
我是不是忽略了某些显而易见的东西?我可以强制同步帐户,但无法使用相同的域名和凭据自动同步,这似乎很奇怪。
答案1
事实证明,问题出在配置文件损坏上,我们所有的设置都是正确的。ActiveDS.dat 文件因一个非常长且毫无意义的 LDAP 查询而损坏。删除查询的无关部分使其能够正确处理和同步。