我对这个问题束手无策,希望这里有天才可以提供帮助。背景:我们有一个客户(一家医院),在 AD 中有 3 个站点,每个站点有两个 DC。这些 DC 是 2012 年的,我们正在迁移到新的 2022 年 DC。不升级,安装新的 2022 年虚拟机并淘汰旧虚拟机。
计划是,一旦 2012 全部退役,就将域功能级别提升至 2016。
在他们的 LoB 应用程序和设备之间,他们使用了大量 LDAPS。到目前为止,除了一个 VM 替换之外,其他所有 VM 替换都已完成,并且进展顺利。但是,他们有一个医疗软件一直拒绝使用 LDAP 向任何新服务器进行身份验证,并且只会向剩下的一台 2012 服务器进行身份验证。
我们花了很多时间尝试解决这个问题,但一无所获。无论我们使用 LDAP 还是 LDAPS 进行查询,结果都是一样的。当我们尝试在 LDP 中运行绑定时,我们从任何新服务器获得的结果如下:
res = ldap_bind_s(ld, NULL, &NtAuthIdentity, NEGOTIATE (1158)); // v.3
{NtAuthIdentity: User='<REDACTED>'; Pwd=<unavailable>; domain = '<REDACTED>'}
Error <49>: ldap_bind_s() failed: Invalid Credentials.
Server error: 8009030C: LdapErr: DSID-0C09070F, comment: AcceptSecurityContext error, data 52e, v4f7c
Error 0x8009030C The logon attempt failed
52e 错误代码表示密码不正确,但我们已经尝试了几个帐户,这不是无效凭据。如果我们使用完全相同的凭据绑定到 2012 DC,一切正常。
我尝试启动一台新服务器,只在上面安装了 AD LDS(我没有将其设为域控制器),结果也是一样的。据我们几个人说,一切都配置得恰到好处,新服务器就是拒绝正确进行身份验证。
有人见过这种情况吗?我们的下一步是寻求微软的支持,但这非常昂贵,因此如果可能的话,我们希望避免这种情况。谢谢大家!