Введение

При добавлении источника идентификации типа Active Directory рекомендуется используя кнопку "Проверить связь с сервером" убедиться в возможности корректного взаимодействия до проверки подключения реальным клиентским устройством.

В ответе выводиться результат попытки подключения в котором содержится информация о попытке подключения по протоколу LDAP и протоколу netlogon с результатом для каждой попытки подключения.

Подробно настройка взаимодействия с Active Directory описана в разделе v1.0_4.1 Настройка интеграции с Active Directory.

Ниже приведен пример настроек источника идентификации типа Active Directory:

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-12-30.png

Далее перечислены возможные ошибки и способы их решения при нажатии кнопки "Проверить связь с сервером".

Ошибка DNS_NO_SERVER_TO_AUTHORITY - 00000008:No servers to authority in domain

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-43-29.png

Данная ошибка как правило возникает в двух случаях:

Неправильно указано имя домена (или предпочитаемого контроллера домена для обращений) в блоке "Подключение" в поле FQDN. Требуется проверить правильность заполнения данного поля.
DNS-сервер используемый хостом на котором установлен NAICE не может выполнить разрешение доменных имен.

Необходимо проверить, что DNS-имена домена, серверов AD и SRV-запросы резолвятся через DNS-запросы. Для этого необходимо подключиться по SSH к серверу и используя утилиту dig, входящую в состав ОС LInux проверить возможность разрешения доменных имен.

Проверка возможности разрешения имени домена:

dig <FQDN имя домена> | grep 'ANSWER SECTION' -A 10

$ dig test.loc | grep 'ANSWER SECTION' -A 10
;; ANSWER SECTION:
test.loc.		600	IN	A	100.110.2.12

;; Query time: 0 msec
;; SERVER: 100.110.2.12#53(100.110.2.12) (UDP)
;; WHEN: Sun Mar 23 08:10:57 UTC 2025
;; MSG SIZE  rcvd: 53

Проверка возможности разрешения имени контроллера домена:

dig <FQDN имя контроллера домена> | grep 'ANSWER SECTION' -A 10

$ dig srv1.test.loc | grep 'ANSWER SECTION' -A 10
;; ANSWER SECTION:
srv1.test.loc.   3600	IN	A	100.110.2.12

;; Query time: 4 msec
;; SERVER: 100.110.2.12#53(100.110.2.12) (UDP)
;; WHEN: Sun Mar 23 08:11:53 UTC 2025
;; MSG SIZE  rcvd: 69

Проверка возможности разрешения SRV-запроса (запрос списка контроллеров обслуживающих домен):

dig srv _ldap._tcp.dc._msdc.<FQDN имя домена>

$ dig srv _ldap._tcp.dc._msdc.test.loc

; <<>> DiG 9.18.30-0ubuntu0.22.04.2-Ubuntu <<>> srv _ldap._tcp.test.loc
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6464
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;_ldap._tcp.dc._msdc.test.loc.	IN	SRV

;; AUTHORITY SECTION:
test.loc.		3600	IN	SOA	srv1.test.loc. hostmaster.test.loc. 1146 900 600 86400 3600

;; Query time: 1 msec
;; SERVER: 100.110.2.12#53(100.110.2.12) (UDP)
;; WHEN: Thu Apr 03 16:08:38 +07 2025
;; MSG SIZE  rcvd: 128

Необходимо убедиться, что все запросы выполняются успешно, возвращаются корректные IP-адреса, список контроллеров обслуживающих домен.

Необходимо убедиться, что DNS-сервер, указанный в настройках хоста на котором установлен NAICE доступен и способен выполнять разрешение данных запросов.

Как правило для корректной работы требуется указать DNS-сервер (один или несколько) обслуживающий Active Directory.

Если настройки используемого DNS-сервера были изменены после установки NAICE требуется выполнить перезапуск NAICE.

Для этого надо зайти в папку установки NAICE (по умолчанию /etc/docker-naice):

cd /etc/docker-naice/

И выполнить команду:

sudo docker compose down && sudo docker compose up -d

Ошибка NT_STATUS_LOGON_FAILURE - C000006D:Logon failure: unknown user name or bad password

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-13-56.png

Требуется проверить корректность заполнения в блоке "Подключение" поля "Имя домена" и исправить его. В данном поле указывается короткое имя домена, в котором будет выполняться авторизация, без указания полного имени.

Ошибка NT_STATUS_NO_TRUST_SAM_ACCOUNT - C000018B:The SAM database on the Windows NT Server does not have a computer account for this workstation trust relationship

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-14-55.png

Требуется проверить корректность заполнения в блоке "Подключение" поля "Имя компьютера".
Требуется убедиться что в домен, в котором будет выполняться авторизация данный компьютер добавлен с тем же именем.
Указывается только имя компьютера, без указания доменной части.
Если имя компьютера в формате "domain-name" и "пред Windows 2000" различаются - необходимо использовать имя в формате "пред Windows 2000".

NAICE не выполняет добавления компьютера автоматически! Это должен сделать администратор домена.

Ошибка NT_STATUS_ACCESS_DENIED - C0000022:Access is denied

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-15-30.png

Требуется проверить корректность заполнения в блоке "Подключение" поля "Пароль компьютера".
Требуется убедиться, что пароль компьютера задан, при необходимости задать его повторно.

Ошибка NT_STATUS_NO_SUCH_USER - C0000064:The specified user does not exist

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-16-8.png

Требуется проверить корректность заполнения в блоке "Подключение" поля "Admin dn".
Требуется убедиться, что пользователь существует в Active Directory в домене, в котором планируется выполнять авторизацию.

Логин пользователя может быть задан в форматах:

sAMAccountName: <имя пользователя>
userPrincipalName: <имя пользователя>@<FQDN>
Пред Windows 2000: <Domain-name>\<имя пользователя>

Ошибка NT_STATUS_WRONG_PASSWORD - C000006A:The specified network password is not correct

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-16-54.png

Требуется проверить корректность заполнения в блоке "Подключение" поля "Admin password".
При необходимости повторно задать пароль пользователя средствами администрирования Active Directory.

Ошибка Не удалось подключиться к источнику идентификации

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-21-23.png

в данной ошибке видно, что не удалось выполнить подключение по протоколу LDAP, в то время как аутентификация netlogon выполнена успешно.

Требуется проверить корректность заполнения в блоке "Подключение" поля "Port".
Проверить, что указанный в настройке порт доступен с сервера на котором установлен NAICE.
Требуется проверить корректность заполнения в блоке "Структура каталога" поля "Subject search base".
Требуется проверить корректность заполнения в блоке "Структура каталога" поля "Group search base".

Ошибка Invalid NTStatusCode

Eltex Documentation > v1.0_9.4 Диагностика интеграции с Active Directory > image-2025-11-14_15-37-48.png

Данная ошибка сообщает о невозможности авторизации в Active Directory по протоколу netlogon и требует анализа настроек групповых политик и ограничений методов авторизации со стороны Active Directory.

В данном примере ошибка вызвана включением настройки "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене" с опцией "Запретить все" в групповой политике Active Directory.