故障排除技巧

• 目录/应用程序设置
• 管理员设置
• Active Directory 用户管理
• Active Directory 报表
• Active Directory 委派
• 文件服务器管理
• Microsoft 365 管理
• Active Directory 迁移
• 电子邮件服务器设置
• 组策略管理

目录/应用程序设置

1. 启动 ADManager Plus 时，未检测到任何域，提示“无可用域配置”。原因何在？
2. 手动添加域时，域控制器无法解析。为什么？
3. 添加域控制器时出现"服务器未运行"错误。这意味着什么？
4. 添加域控制器时出现"无法获取域DNS/FLAT名称"错误，这意味着什么？
5. 域设置中的状态栏显示用户没有管理员权限？
6. 添加额外域时收到错误提示"许可证仅适用于"n"个域"。
7. 尝试安装ADManager Plus时出现错误"无法安装InstallShield引擎(iKernel.exe)"，该如何处理？
8. Azure Active Directory 中缺少客户端密钥
9. 在ADManager Plus中访问Microsoft 365应用时出现错误："REST API应用使用的证书已过期、未注册或从门户中移除"。原因何在？
10. 设置 Microsoft 365 账户时收到"无法验证凭据"错误，可能原因是什么？
11. 执行Exchange Online管理任务或生成报表时收到"访问被拒绝"错误。问题出在哪里？

1. 启动ADManager Plus时未检测到任何域，提示"无可用域配置"。原因何在？

ADManager Plus启动时会从运行该产品的机器关联的DNS服务器中发现域。若DNS服务器中没有域详细信息，则会显示此消息。

问题

2. 手动添加域时，域控制器无法解析。原因何在？

此问题发生于运行ADManager Plus的机器关联DNS未包含必要信息时。您需要手动添加域控制器。

问题

3. 添加域控制器时出现"服务器不可用"错误，这意味着什么？

此错误可能由以下任一原因导致：

1. 域控制器（DC）已下线。
2. 服务器不可用。
3. 防火墙已启用，且端口389处于关闭状态。
4. 网络繁忙，请稍后重试。

问题

4. 添加域控制器时出现"无法获取域DNS/FLAT名称"错误，具体含义是什么？

此错误可能由以下任一原因导致：

1. 指定的用户名或密码无效。
2. 匿名登录（未提供用户名和密码）。
3. 指定了域控制器的 IP 地址而非其名称。

问题

5. 域设置中的状态栏显示用户没有管理员权限？

此为警告信息，表明指定用户未具备管理员权限，即该用户未加入"域管理员"组。因此，管理员级别的权限可能无法授予此用户。

问题

6. 添加额外域时收到错误提示"许可证仅适用于"n"个域"。

此警告提示您 正在尝试添加的域数量超出 已购许可证的最大支持数量。若需添加新域，请删除 现有域或根据需求购买 额外域许可证。

问题

7. 安装ADManager Plus时出现"无法安装InstallShield引擎(iKernel.exe)"错误，如何解决？

此警告提示您 当前权限不足以将iKernel.exe复制到 计划安装ADManager Plus的目标文件夹。

问题

8. Azure Active Directory 中缺少客户端密钥

此错误何时发生？

在低于7202版本的ADManager Plus中添加Azure AD租户时，产品不会自动生成客户端密钥。此时将显示此错误，导致用户无法执行备份操作。解决方法是创建新客户端密钥并更新至产品中，具体步骤如下：

当您在ADManager Plus中导航至备份选项卡>Azure AD>备份设置时，若客户端密钥无效，将出现"点击此处"链接，该链接将引导您执行以下配置新客户端密钥的步骤。

1. 导航至目录/应用程序设置 ➡️Microsoft 365。



2. 在相应租户的操作列中点击 图标。



3. 从应用程序（客户端）ID字段 复制客户端ID。



4. 登录Azure AD门户，使用客户端ID搜索由ADManager Plus创建的应用程序。点击对应搜索结果打开应用程序。



5. 从侧边栏进入“证书与密钥”页面，点击“新建客户端密钥”。



6. 点击添加。



7. 点击 图标，从"值"字段复制客户端密钥。



8. 返回ADManager Plus，在应用程序详细信息区域点击 图标。



9. 在应用程序安全密钥字段中，粘贴步骤7中复制的新客户端密钥。



10. 点击更新。
11. 等待更新完成后，检查“备份”选项卡。此时租户应已显示。

问题

9. 在ADManager Plus中访问Microsoft 365应用时，出现"REST API应用使用的证书已过期、未注册或从门户中移除"错误。原因何在？

此错误可能由以下任一原因导致：

• 情况1：若证书有效期与您本地时区不匹配，您可能会收到微软返回的此错误，导致无法使用该证书。
• 情况 2：若证书近期刚上传至 Azure 门户，在产品中尝试更新时可能出现此错误。此时请稍后几分钟重试，查看问题是否已解决。

若证书已过期、未注册或从门户移除，请按以下步骤添加新证书：

1. 使用全局管理员账户凭据登录Azure 门户。
2. 在左侧窗格中点击Azure Active Directory。
3. 点击应用注册。
4. 通过客户端 ID 搜索应用程序。
5. 在左侧窗格中点击证书和密钥。
6. 在证书下，点击上传证书。以CER文件格式上传应用程序证书。
7. 现在，在 ADManager Plus 中，转到“域/租户设置”>“Microsoft 365”，然后点击对应租户的“ ”图标。
8. 在弹出的"修改应用程序详细信息"窗口中，点击"应用程序详细信息"旁的 图标。
9. 在应用程序密钥与证书下，添加应用程序密钥值并上传应用程序证书（PFX格式文件）。



10. 若用户持有SSL证书，可在此处使用。否则请点击此处查看自签名证书创建步骤。
11. 点击更新。
注意：若问题仍未解决，请联系 support@manageengine.cn。

问题

10. 设置 Microsoft 365 账户时出现"无法验证您的凭据"错误，可能原因是什么？

此错误可能由以下任一原因导致：

• 输入的用户名或密码有误，或用户账户存在问题。
• 用户名格式输入错误。
• 未连接互联网。
• 用户账户可能启用了Azure多因素身份验证。此时请按照此处步骤配置ADManager Plus与您的Microsoft 365账户。

问题

11. 在执行Exchange Online管理任务或生成报表时收到"访问被拒绝"错误提示，问题出在哪里？

此错误可能由以下任一原因导致：

• 输入的用户名或密码不正确，或用户账户存在问题。
• Exchange 管理员角色权限不足。

问题

返回模块

管理员设置

1. SMS 服务器设置与 SSLHandshakeException 错误

为何会出现此错误？

当配置的SMTP邮件服务器或ADManager Plus中配置SSL的Web服务器使用 自签名证书时会发生此错误。由于ADManager Plus使用的Java运行时环境不会信任自签名证书 （除非明确导入），建议执行以下故障排除步骤：

步骤1：下载所需证书

• 针对SMTP服务器：
  注意：请确保预先安装OpenSSL，并从这里下载SMTP服务器的证书。
  • 在命令提示符中导航至 OpenSSL 安装目录下的 bin 文件夹。
  • 运行以下命令：
    openssl.exe s_client -connect SMTPServer:Portno -starttls smtp → 证书文件名.cer
  • 例如：openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp → gmailcert.cer
• 对于Web服务器：
  • 在浏览器中打开网页地址。
  • 在地址栏中点击挂锁图标，然后点击 证书。
  • 在打开的证书窗口中，点击 详细信息 选项卡。
  • 然后点击 复制到文件 按钮。
  • 选择“DRE编码二进制X.509（.CER）”格式，点击 下一步。
  • 输入文件保存路径，然后点击 完成。
• 将证书导入ADManager Plus的JRE软件包
  • 打开命令提示符并导航至 \jre\bin 文件夹。例如：'C:\ManageEngine\ADManager Plus\jre\bin'。
  • 运行以下命令：
    Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file
    例如：Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
  • 当系统提示输入密码时，请输入"changeit"；当系统提示确认时，请输入"y"。
  • 现在关闭命令提示符窗口并重新启动 ADManager Plus。

返回模块列表

Active Directory用户管理

1. 创建用户时出现错误："设置密码失败。网络路径未找到 - 错误代码：80070035"
2. 创建用户时出现错误："设置密码失败。命名冲突 - 错误代码：80072037"
3. 在 创建/修改用户时，出现以下错误："服务器 拒绝处理请求 - 错误代码：80072035"
4. 创建用户时出现错误："设置终端服务属性失败。指定用户不存在 - 错误代码：525"
5. 我 已使用ADManager Plus更新了Exchange属性，但这些属性 尚未在Exchange服务器中更新。
6. 意外创建了一个旧式邮箱。
7. 我 无法为该用户设置终端服务属性？
8. 收到错误提示："指定给目录服务的属性语法无效 - 错误代码：8007200b"？
9. 创建/修改用户时出现错误："创建用户失败。系统连接的设备无法正常工作 - 错误代码：8007001f"
10. 用户电子邮件地址未显示或设置不正确？ 错误 - 设置密码时服务器拒绝处理请求，且密码未满足复杂度要求
11. 错误 - 设置密码时服务器拒绝处理请求， 密码未满足复杂度要求
12. 错误代码：8007052e
13. 错误代码：80070775
14. 错误代码：800708c5
15. 5 -访问被拒绝（终端服务/文件夹创建）
16. 未找到匹配用户。请检查搜索查询中的LDAP属性
17. 错误代码：80072035
18. 错误代码：80072030
19. 错误代码：80070005
20. 错误代码：80072014
21. 错误代码：80072016
22. 错误代码 35
23. 错误代码：800704c3
24. 错误代码：b7
25. 错误代码：6
26. 错误代码 8007200a
27. 添加用户时出现“许可证级别超限”错误消息。
28. "为用户启用 Lync 服务时出错"或"启用 Lync 电话选项时出错"
29. 错误代码 78
30. 错误代码 80004005
31. 技术人员无权限对该对象执行所需操作
32. 使用资源入策略请求/资源出策略请求创建或修改会议室邮箱时，出现以下错误：'该值已在集合中存在'或'参数legacyExchangeDN必须为非空字符串'。
33. 部分未存在于AD中的用户被显示，或部分存在于AD中的用户未被显示。
34. 在选择OU生成报表时，出现以下提示："未找到与您输入内容匹配的数据。点击此处进行故障排除"
35. 创建 Google Workspace 用户时出现错误提示："创建 Google Workspace 用户失败：无效的电子邮件地址"。
36. 创建 Google Workspace 用户时收到错误提示："创建 Google Workspace 用户失败。恢复邮箱无效"
37. 创建Google Workspace用户时收到错误提示："创建Google Workspace用户失败。恢复电话无效"

1. 创建用户时出现错误提示："设置密码失败。未找到网络路径 - 错误代码：80070035"

为用户设置密码时，若无法联系目标计算机则会显示此错误。可能原因包括：

• 运行 ADManager Plus 的机器关联的 DNS 未指向创建用户账户的域控制器 （可能两者位于不同域中）。
• 防火墙可能封锁了445端口。请先开放445端口再尝试设置密码。

问题

2. 创建用户时出现错误提示："设置密码失败。命名冲突 - 错误代码：80072037"

此错误可能由在无效容器中创建用户导致。

问题

3. 创建/修改用户时出现错误："服务器拒绝处理请求 - 错误代码：80072035"

可能原因包括：

1. 设置密码时， 若未满足密码策略定义的复杂度要求。例如密码策略要求密码 必须包含字母数字，若所设密码不符合此要求， 则可能触发此错误。
2. 尝试从组中移除不存在的用户对象时。
3. 当尝试从用户的主组中移除该用户时。
4. 批量修改多个用户的 sAMAccountName 格式时，若存在多个用户 的 sAMAccountName 相同。

问题

4. 创建用户时出现错误："设置终端服务属性失败。指定用户不存在 - 错误代码：525"

可能原因之一是： 运行产品的用户账户或系统账户在目标域中不存在。 仅当运行 ADManager Plus 的用户账户或系统账户（当 ADManager Plus 以服务形式运行时适用） 在目标域中拥有账户时，才能设置终端服务属性。

问题

5. 使用ADManager Plus更新Exchange属性后， Exchange服务器端属性 尚未同步更新。

ADManager Plus 修改的是活动目录中的 Exchange 属性。 更改可能不会立即反映在 Exchange 服务器上， 需等待一段时间才会更新。

问题

6. 遗留邮箱

Exchange 2007 环境要求

1. 需在兼容机器上安装ADManager Plus 64位版本。（现有安装的架构信息可通过<安装目录>\ManageEngine\ADManager Plus\conf目录下的"Product.conf"文件查看）。请从以下链接下载ADManager Plus 64位版本：https://www.manageengine.cn/products/ad-manager/download.html

2. 在Exchange 2007中创建邮箱启用用户时，需确保安装ADManager Plus的计算机上配备对应版本的Exchange管理控制台（EMC），否则将创建传统邮箱。

3. 若 ADManager Plus 以控制台模式运行，则必须以管理员身份（Exchange 管理员）登录该计算机。

4. 若ADManager Plus以服务形式安装，请按以下步骤为服务账户配置管理员（Exchange管理员）权限：

• 步骤 1：点击开始 → 运行 → 输入 services.msc
• 步骤 2：定位服务名称"Manageengine ADManager Plus"
• 步骤 3：右键单击该服务，选择属性 → 登录
• 步骤4：选择"此帐户"并提供凭据。

Exchange 2010 邮箱创建的先决条件

1. 1. 本机需安装 Windows PowerShell 2.0 或更高版本
2. 2. 本机与远程 Exchange 2010 服务器之间必须保持 TCP 端口 80 畅通。
3. 3.必须为“域设置”中指定的用户账户启用远程PowerShell功能。

问题

7. 无法为用户设置终端服务属性？

可能原因之一是该用户或运行产品的系统 在该域中没有账户。

请参阅此处了解如何以用户或系统账户启动ADManager Plus。

问题

8. 出现错误提示："指定给目录服务的属性语法无效 - 错误代码：8007200b"？

此错误可能出现在以下场景：

1. 在批量修改用户时，若尝试删除（或将值设为空）不存在的属性。
2. 在创建用户时为某个属性指定了空白值。
3. 当指定的LDAP属性不符合语法规范时。

问题

9. 创建/修改用户时出现错误"系统连接的设备无法正常工作 - 错误代码：8007001f"

可能原因包括：

1. 创建用户时，若命名属性（如姓名、登录名、SAM账户名等）包含特殊字符。
2. 修改用户时，命名属性格式选择不当。例如： 若登录名格式设为 LastName.FirstName.Initials 而用户未配置其中任一属性，将触发此错误。

问题

10. 用户邮箱地址未显示或设置不正确？

可能原因如下：

1. 电子邮件可能未按收件人策略设置。请检查收件人策略查询中的所有LDAP属性 是否均设置为特定值。
2. 请在用户账户属性中检查是否已输入电子邮件属性。示例： xyz@company.com。 用户必须填写公司名称。

问题

11. 错误-设置密码时服务器拒绝处理请求，因密码不符合复杂度要求

可能原因：

创建用户账户时可能未在"密码复杂度"选项中 选择任何设置。

例如：密码复杂度选项包括密码长度、 允许使用的字符类型或错误登录尝试次数等。您需要 选择任意复杂度级别。忽略此设置将导致上述错误。

问题

12. 错误代码：8007052e

 

  此错误由无效凭据引发。

13. 错误代码：80070775

  原因： 所引用的账户当前处于锁定状态，无法登录。

14. 错误代码：800708c5  

    

  原因： 密码不符合密码策略要求。请检查 密码最小长度、密码复杂度及 密码 历史记录要求。

问题

14. 5 - 访问被拒绝（终端服务/文件夹创建）

    原因：

1. 用户无权创建主文件夹。
2. 用户无权访问终端服务。

问题

16. 未找到此用户。请核对搜索查询中的LDAP属性

原因：AD中无用户符合您提供的条件。请通过 核对"AD用户匹配条件"中的查询字段选择正确匹配属性（点击"更新AD"按钮并展开"选择属性"框可获取）。同时确保技术支持人员拥有该OU的操作权限。

问题

17. 错误代码 80072035：设置属性时出错。服务器拒绝处理请求。

原因：用户创建时指定的主组已被移动或删除。
 

问题

18 错误代码：80072030：设置属性时出错。服务器拒绝处理该请求。

原因：用户创建时选定的用户模板中指定的主组/容器已被移动或删除。 （您试图在某个OU内部创建子对象，但该父级OU不存在）
 

问题

19. 错误代码：80070005 - 访问被拒绝

原因：用户可能试图访问其未获授权的对象。
 

问题

20. 错误代码：80072014 设置属性时出错。请求的操作未满足与对象类相关的 一个或 多个约束条件

原因：当用于导入值的CSV文件不符合属性相关条件时，可能出现此类错误。
 

问题

21. 错误代码：80072016 设置属性错误。目录服务无法对对象的 RDN 属性执行请求的操作

原因：若CSV文件中的LDAP头信息存在任何不当引用，可能导致此类错误。
 

问题

22. 错误代码 35：创建终端服务主目录失败/创建主目录失败。未找到网络路径。 原因：远程服务器路径可能不可访问。 

原因：远程服务器路径可能不可访问。

问题

23. 错误代码：800704c3 - 设置账户属性时访问用户出错

原因：同一用户使用多个用户名同时连接服务器或共享资源不被允许。请断开
所有先前连接后重试。

问题

24. 错误代码 b7：创建配置文件路径时出错

原因：可能存在同名文件/文件夹。

问题

25. 删除远程配置文件夹时出现 "无法删除配置文件。句柄无效 - 错误代码：6"

原因：该文件夹可能未继承任何权限。请检查特定用户是否拥有该文件夹的删除权限。即使文件夹当前处于使用状态（ ），此情况仍可能发生。

问题

26. 修改用户时收到错误提示："无法修改用户。错误：指定的目录服务属性值不存在。错误代码：8007200a" 应如何处理？

原因：此错误可能由以下原因导致：

• 指定的LDAP属性不正确。
• 导入的 CSV 文件中存在位置错误的逗号。
• 指定的自定义LDAP属性在所选域中不存在。

请检查指定属性的语法及CSV文件中是否存在逗号位置错误。同时确保 指定属性属于您希望使用该属性的域范围。

问题

27. 添加用户时收到错误提示："许可证级别超限"。 现在该怎么办？

该提示表明您已达到许可证允许的最大用户数量上限。 若需添加更多用户，请升级许可证。

问题

28. 在创建包含 Lync 电话选项的新用户时，出现以下任一错误提示："为用户启用 Lync 服务时出错" 或 "启用 Lync 电话选项时出错"。可能原因是什么？

以下列举上述错误的可能原因。解决这些问题可避免错误发生：

• 所需电话类型设置缺少必需值。可能缺失的原因包括：
  • 设置值为空/设置项未填写。
  • 您可能使用了命名格式，但该格式中指定的属性可能没有值。 例如，对于'Line URI'属性，您可能将值设置为'tel:%telephoneNumber%'， 但电话号码属性本身可能是空值。
• 设置中存在重复值（该值必须唯一）。例如在"线路URI"中，您可能提供了 其他用户已使用的值，导致此错误。
• 设置中提供的LDAP属性可能包含特殊字符。例如，您可能使用'%mail%'为Lync电话设置提供值，而电子邮件地址可能包含特殊字符如：%、$、#等。尽管mail属性支持特殊字符，但Lync设置不支持这些特殊字符。

问题

29. 错误代码 78：此系统不支持该功能。

原因：远程服务器路径可能因权限不足而无法访问。

问题

30. 错误代码 80004005：未指定错误。

原因：还原路径中已存在同名对象。

问题

31.技术人员无权限对该对象执行所需操作。

原因：您可能未获授权在此组织单位执行所需操作。请联系管理员获取该组织单位的操作权限。

问题

32. 使用资源入策略请求/资源出策略请求创建或修改会议室邮箱时，出现错误提示："该值已在集合中存在"或"参数'legacyExchangeDN'必须为非空字符串"。可能原因是什么？

原因：若资源入策略请求/资源出策略请求中选定的邮箱为旧版邮箱，则会引发上述错误。只需从选定列表中移除旧版邮箱，重新执行操作即可。

问题

33. 部分未存在于AD中的用户被显示，或部分存在于AD中的用户未被显示。

原因：当数据未与Active Directory同步时可能出现此不匹配情况。

解决方案：点击刷新图标同步ADManager Plus数据库与您的AD。

问题

34. 选择组织单位生成报表时，出现提示"未找到符合条件的数据。点击此处排查问题"

原因：可能没有用户符合指定的筛选条件。

解决方案：确保所选OU非空。重置筛选条件后重新生成报表。

问题

35. 创建Google Workspace用户时出现"创建Google Workspace用户失败：无效的电子邮件地址"错误。

原因：电子邮件后缀可能不是有效的 Google 域名。

解决方案：创建 Google Workspace 用户时，请确保其拥有有效的 Google 域名。例如，若 Google 域名是gapp1.testing.com，则用户的电子邮件地址必须为testuser@gapp1.testing.com。

问题

36. 创建 Google Workspace 用户时收到错误提示："创建 Google Workspace 用户失败。恢复邮箱无效"。

原因：恢复邮箱格式可能无效。

解决方案：确保恢复邮箱格式正确。例如：testuser@<域名.com>。

问题

37. 创建 Google Workspace 用户时，出现“创建 Google Workspace 用户时出错。恢复电话无效”的错误提示。

原因：该电话号码可能不是有效的电话号码。

解决方案：恢复电话号码应采用E.164格式，这是电话号码的国际标准格式。

问题

Active Directory 报表

1. 当我指定详细信息并生成报表时，系统显示"无可用报表"或 数据不完整
2. AD报表显示Active Directory中不存在的对象？
3. 错误代码：80070035 - 获取共享时出错。未找到网络路径
4. 无法处理参数'Credential'的参数转换。

1. 指定详细信息并生成报表时，显示"无可用报表"或数据不完整

可能由以下任一原因导致：

1. 当ADManager Plus无法联系域控制器时（因其不可用或网络中断）。
2. 若存在多个域控制器，当数据未在所有域控制器中同步时。
3. 用于识别非活动用户和计算机的 LastLogonTime未在所有域控制器中 同步。因此需在域设置中 指定所有域控制器， 使ADManager Plus能从所有域控制器 获取数据。
4. 当密码策略未设置（即最大密码有效期设为零）时， "密码过期用户"报表和"即将过期用户"报表将不显示任何数据。
5. 对于基于时间的报表（如 闲置用户、闲置计算机、最近登录用户等）， 运行ADManager Plus的计算机日期时间 需与域控制器保持同步。
6. 原本对应的报表中 将无法获取任何数据。

问题

2. AD报表显示的对象 在活动目录中不存在？

此不匹配情况可能发生在数据未与 Active Directory 同步时。与 Active Directory 的数据同步每天凌晨 1 点进行。若 ADManager Plus 当时未运行，可通过域设置中点击该域的 图标手动启动数据同步。

3.错误代码：80070035 - 获取共享时出错。未找到网络路径

原因 - 远程服务器路径可能不可访问。

4. 无法处理参数'Credential'的参数转换。

原因：此错误发生于域设置中未指定身份验证凭据时。 解决方法：

1. 转至域设置。
2. 点击出现上述错误的域旁边的编辑图标。
3. 启用身份验证功能，并输入有效域账户凭据。
4. 完成后点击更新。

问题

返回模块列表

Active Directory 委派

1. 角色委派时出现"权限被拒绝"错误

可能原因之一是启动产品的用户或系统 缺乏执行此操作所需的权限。

请参阅此处 了解如何以用户或系统账户启动ADManager Plus。

2. 我无法通过自己的账户登录！

可能原因如下：

1. 用户名/密码无效。
2. 登录限制。
3. 帐户已禁用/锁定/过期
4. 勾选“下次登录时必须更改密码”。

3. 重置默认管理员账户的二次验证因素

若您遗失了认证设备，或无法获取完成认证所需的验证码，可通过以下步骤重置二次认证因素。

1. 导航至 <安装目录>\bin 文件夹。默认路径为 C:\ManageEngine\ADManager Plus\bin。
2. 查找并运行resetAdminTFAEnrollment.bat文件。
3. 现在可通过登录ADManager Plus重新注册二次验证因素。

注意：仅支持重置内置管理员账户的验证因素

4. 错误提示："无法连接或与 Duo Security 通信。请联系管理员。"

原因：ADManager Plus 因健康检查失败无法访问 Duo Security，可能由以下任一原因导致：

1. 无法连接 Duo Security。
2. ADManager Plus 中配置的客户端 ID、客户端密钥和API 主机名值与 Duo 管理面板中的值不匹配或已过期。

解决方案：请确保通过HTTPS端口443可从ADManager Plus访问Duo Security，并确认客户端ID、客户端密钥及API主机名值准确且最新。

5. 错误：{"error : invalid grant", error description: "无效重定向URI 'https://172.24.123.12:443/DuoCallback'"}

原因：此错误由Duo端引发。用户尝试连接产品时，URL可能包含IP地址。

解决方案：确保访问ADManager Plus的URL不含IP地址。根据Duo Security建议，URL应采用规范格式：包含有效的HTTPS协议、主机名及端口号，且长度不超过1,024个字符。

返回模块列表

文件服务器管理

1. 尝试访问文件夹时发现文件夹为空。
• 可能原因包括：该文件夹未包含任何数据，或您无权限列出该文件夹内容 。
• 若为群集共享卷，
• 若故障转移群集与ADManager Plus位于不同域中，请确保DNS服务器中的DNS 条件转发配置在ADManager Plus安装域内。可通过更新DNS条件转发记录中的以下字段实现：
• DNS 域字段应映射至目标故障转移群集所在的域。
• 主服务器IP地址字段应映射至DNS域字段中所述故障转移群集域的DNS服务器IP地址。



2. 尝试为文件夹设置权限时收到错误提示："访问被拒绝；无法为该文件夹设置权限"；

原因可能是您没有权限修改该特定文件夹的权限。

3. 在修改文件夹权限时遇到错误提示："修改一个或多个文件夹权限时发生错误"

原因可能是您对某个文件夹或子文件夹缺乏修改权限的权限。

4. 尝试修改文件夹权限时出现错误提示："要应用的权限之一已存在"

原因可能是您尝试应用的某项权限已存在且当前有效。

5. 尝试从文件夹移除权限时出现错误提示："要应用的权限之一或多个已存在"；

可能原因是您尝试删除的权限之一已被拒绝且当前有效。

6. 为何已删除的命名空间仍出现在DFS文件服务器中？

使用DFS管理管理单元删除命名空间时，有时该操作不会立即反映在DFS元数据中。 为解决此问题，需手动在DFS元数据中删除命名空间。

从 DFS 元数据中删除命名空间：

• 启动 ADSIedit.msc。
• 连接并展开默认命名上下文（域分区）。
• 展开并定位以下节点：
  CN=Dfs-Configuration, CN=System, DC=<domain_Name>, DC=<extension>
• 删除您已通过DFS管理管理单元删除的命名空间。

返回模块

Microsoft 365 管理

1. 在管理 Microsoft 365 许可证或创建 Microsoft 365 用户时，出现以下错误："无法为此用户更新许可证。该许可证组合包含两个或多个无法同时分配的服务计划。"

原因：此错误由分配给Microsoft 365用户的许可证组合无效导致。若尝试将属于两个或多个服务计划的相同许可证分配给Microsoft 365用户，将触发此错误。

解决方案：确保分配给Microsoft 365用户的许可证所含服务计划不存在重叠。

2. 创建 Microsoft 365 用户时出现错误："参数名称语法无效"

原因：此消息表示参数赋值存在错误，参数值中可能包含空格或特殊字符。

解决方案：确保参数值非空且不含空格或特殊字符。

3. 创建 Microsoft 365 用户时出现错误："必须提供必需属性：参数名称：FederatedUser.SourceAnchor。"

原因：此错误发生于尝试在联合域中直接创建Microsoft 365用户时。

解决方案：要在联合域中创建 Microsoft 365 用户，请先创建 Active Directory 用户账户，然后使用 Azure AD Connect 工具将用户同步到 Microsoft 365。

4. 创建 Microsoft 365 用户时，我收到以下错误："必须提供必需参数 displayName/userPrincipalName。"

原因：若 displayName 和 userPrincipalName 值为空，则会出现此错误。

解决方案：上述两个属性均为必填项。请确保为两个属性均提供有效值。

5. 创建 Microsoft 365 用户时出现错误："无法添加此用户，因为已存在具有相同用户主体名称的用户"

原因：当Microsoft 365中已存在用户主名称相同的用户账户时会触发此错误。

解决方案：输入不同的用户主名称后重试。

6. 创建 Microsoft 365 用户时出现错误提示："必须选择强密码"

原因：若指定密码不符合密码策略要求，则可能出现此错误。

解决方案：确保提供的密码符合所需密码策略设置，包括最小密码长度、密码复杂度及密码历史记录要求。

返回模块

Active Directory 迁移

1. 在ADManager Plus中使用ADMT迁移AD对象时出现以下错误："以下SID历史记录所需的配置尚未完成。目标域中未启用审核功能。未指定的错误(0x80004005)。"

   解决方案：在源域和目标域中分别创建名为<DomainDNS>$$$的空组。

2. 错误代码：8552/8536 - 迁移SID至目标域失败。源域或目标域未启用审计功能。

   此错误发生于尝试在未启用源域或目标域审核功能的情况下迁移安全标识符(SID)。SID历史记录迁移依赖审核策略来追踪和验证过程，确保域转换期间的安全性与合规性。

   解决方案：通过配置相应的审核策略，在源域和目标域中启用审核功能以解决此问题。

   • 打开组策略管理控制台（GPMC）。
   • 导航至：计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审核策略。
   • 启用"审核帐户管理"和"审核目录服务访问"策略。
   • 在命令提示符中运行gpupdate /force更新组策略。
   • 使用auditpol /get /category:*命令查看所有审核策略类别及其子类别，以及当前审核设置。设置如"成功"和"失败"表示将对这些子类别的成功和失败事件进行审核。
   • 完成审核策略配置并应用后，请重新尝试SID迁移操作。

返回模块

电子邮件服务器设置

1. 即使在邮件服务器配置中提供了正确的用户名和密码，仍遇到"用户名或密码无效"错误。
   1. 使用管理员凭据登录https://admin.microsoft.com。
   2. 在管理门户中搜索您计划用于 OAuth 设置的账户。
   3. 选择该账户，转到“邮件”选项卡，点击“管理电子邮件应用”。
   4. 勾选"经过身份验证的SMTP"复选框。
   5. 点击“保存更改”，等待几分钟直至同步过程完成。
   注意：若该选项已被勾选，可通过取消勾选后重新勾选"身份验证SMTP"框重新启用，确保每次操作后保存更改。
2. 尝试设置邮件服务器配置并登录Microsoft 365时，收到"需要管理员批准"的错误提示。
   1. 使用管理员凭据登录portal.azure.com。
   2. 在Azure 服务下导航至企业应用。
   3. 在左侧窗格的“安全性”下选择“同意和权限”。
   4. 在用户同意设置中选择“允许用户为应用程序同意”选项。
   5. 点击保存，等待几分钟完成同步过程。
   6. 继续配置邮件服务器设置，并尝试使用用于 OAuth 配置的账户登录。
   注意：若您不准备授予“允许用户为应用程序同意”权限，可为目标账户分配全局管理员角色作为替代方案。

   • 使用全局管理员账户登录admin.microsoft.com。
   • 在管理门户内搜索您计划用于 OAuth 设置的账户。
   • 选中用户账户，进入"账户"选项卡，点击"管理角色"。
   • 选择"管理中心访问权限"选项，勾选"全局管理员"复选框。
   • 点击保存更改并配置邮件服务器设置。
3. 尝试以其他用户名义发送邮件时遇到以下错误提示：邮件发送失败。发生"发送权限被拒绝"异常。请确认用于身份验证的用户账户是否具备邮件发送权限。
   1. 使用全局管理员账户登录admin.microsoft.com。
   2. 在管理门户中执行搜索，并选择您将在 OAuth 配置中用作用户名的账户。
   3. 导航至邮件选项卡，在邮箱权限下点击“以他人身份发送”权限。
   4. 选择添加权限，并选定您计划在邮件服务器设置中作为发件人地址使用的账户。
   5. 点击保存并继续配置邮件服务器设置。
4. 使用TLS或SSL时出现“无法找到请求目标的有效证书路径”错误。

   使用TLS或SSL时，Java可能无法识别邮件服务器证书。此时必须手动将邮件服务器证书导入ADManager Plus。

   获取邮件服务器证书、签发者证书及根证书并导入ADManager Plus的步骤：

   若未持有邮件服务器证书，请使用OpenSSL工具从邮件服务器获取证书，并按以下步骤导入ADManager Plus：

   • 使用OpenSSL检索证书
   • 将证书导入ADManager Plus

   使用OpenSSL检索证书的步骤

   1. 下载并安装OpenSSL工具。
   2. 打开命令提示符并导航至<OpenSSL安装目录>\bin。
   3. 运行s_client命令，指定包含证书的邮件服务器及目标连接端口。
   • 若所用服务器需要SSL连接，请执行以下命令：

     Openssl s_client -connect <邮件服务器名称>:<ssl端口号>

   • 若服务器要求TLS连接，请执行以下命令：

     Openssl s_client -connect <邮件服务器名称>:<tls端口> -starttls smtp

   4. 执行该命令后，命令提示符界面将显示证书相关信息。从中识别标有BEGIN CERTIFICATE和END CERTIFICATE 的标签。
   5. 将上述标签内的信息复制粘贴至文本文件，并以.cer扩展名保存该文件。

   将邮件服务器证书导入ADManager Plus的步骤

   导入证书到ADManager Plus：

   1. 将下载的邮件服务器证书复制并粘贴至<ADManager Plus_安装目录>\jre\bin文件夹。
   2. 打开命令提示符，导航至<ADManager Plus_安装目录>\jre\bin，执行以下命令：

      keytool -import -v -alias admp -file "证书名称" -keystore "<ADManager Plus安装目录>\jre\lib\security\cacerts" -keypass changeit

   3. 执行此命令后，若提示输入密码，请使用"changeit"作为密码

      注意：要检查证书是否已导入，请打开命令提示符，导航至<ADManager Plus_安装目录>\jre\bin，并执行以下命令：

      keytool -v -list -keystore ..\lib\security\cacerts>Certificate.txt

   4. 执行该命令后，将在<ADManager Plus_安装目录>\jre\bin文件夹中生成名为Certificate的文本文件。打开该文件，确认所需证书及其详细信息是否完整记录。

返回模块

GPO管理

1. 若创建新组策略对象时出现"访问被拒绝 - 80070005"错误，请确认域设置中配置的用户账户具备在目标域创建组策略对象的必要权限。

   建议：作为最佳实践，请确保运行ADManager Plus的账户在目标域中具备创建GPO的必要权限。

2. 若遇到“网络访问被拒绝 - 80070041”错误，请在安装ADManager Plus的计算机上执行以下操作：
   • 运行 gpedit.msc。
   • 依次进入：计算机配置 → 管理模板 → 网络 → 网络提供程序 → 强化 UNC 路径。
   • 选择"已启用"。
   • 在"选项"下，点击"显示"。
   • 在"值名称"下输入"\\*\SYSVOL"（不带引号）。
   • 在"值"下输入"RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0"（不带引号）。
   • 单击“确定”应用更改。
   • 打开命令提示符并运行 gpupdate /force 以应用所做的更改。
3. 若出现"无法检索注册表设置"错误，请通过GPMC将该注册表设置改为"未配置"。之后即可使用AD Manager Plus显示或修改该注册表设置。（此错误源于GPMC与AD Manager Plus中该注册表设置对应的admx文件存在差异。）

返回模块