故障排除提示

• 域设置
• Active Directory 自我更新
• Active Directory 更改密码
• Active Directory 报表
• GINA / Mac / Linux (Ctrl+Alt+Del)
• 推送通知
• 短信服务器设置
• SAML 认证
• SAP Netweaver
• 终端多因素认证

域设置

1. 当我启动 ADSelfService Plus 时，没有发现任何域。它显示“没有可用的域配置”。这是为什么？

2. 当我手动添加我的域时，域控制器未解析。为什么？

3. 当我添加域控制器时，我遇到错误“服务器不可操作”。这是什么意思？

4. 当我添加域控制器时，我遇到错误“无法获取域 DNS/FLAT 名称”。这是什么意思？

5. 域设置中的状态列显示用户没有管理员权限？

1. 当我启动 ADSelfService Plus 时，没有发现任何域。它显示“没有可用的域配置”。这是为什么？

ADSelfService Plus 启动时，会从与运行该产品的计算机关联的 DNS 服务器中发现域。如果 DNS 服务器中没有域详细信息，它会显示此消息。

问题

2. 当我手动添加我的域时，域控制器未解析。为什么？

当与运行 ADSelfService Plus 的计算机关联的 DNS 中没有包含必要的信息时。在这种情况下，您需要手动添加域控制器。

问题

3. 当我添加域控制器时，我遇到错误“服务器不可操作”。这是什么意思？

这意味着指定的域控制器无效或者由于网络不可用，当前无法联系。

问题

4. 当我添加域控制器时，我遇到错误“无法获取域 DNS/FLAT 名称”。这是什么意思？

该错误可能由于以下原因之一：

1. 指定的用户名或密码无效。

2. 匿名登录（未提供用户名和密码）

3. 用域控制器的 IP 地址代替了名称指定。

问题

5. 域设置中的状态列显示用户没有管理员权限？

这是一个警告信息，表明指定用户没有管理员权限，即该用户不是 Domain Admins 组的成员。因此，适用于管理员的权限可能无法用于此用户。

问题

返回模块

Active Directory 自我更新

1. 错误代码 - 80070005 / 错误代码 - 5：设置属性时出错，访问被拒绝

2. 当用户密码重置时，我收到以下错误“设置密码时出错。找不到网络路径 - 错误代码：80070035”

3. 在重置用户密码时，我收到以下错误信息 "设置密码时出错。存在命名违规 - 错误代码 : 80072037"

4. 在更新用户信息时，我收到以下错误信息 "服务器不愿意处理请求 - 错误代码 : 80072035"

5. 在更新用户信息时，我收到以下错误信息 "设置终端服务属性时出错。指定的用户不存在 - 错误代码 : 525"

6. 我使用 ADSelfService Plus 更新了 Exchange 属性，但属性尚未在 Exchange 服务器中更新。

7. 我无法为用户设置终端服务属性？

8. 当我修改用户时，我收到以下错误信息 "附加到系统的设备无法运行 - 错误代码 : 8007001f "

9. 用户的电子邮件地址未显示或设置不正确？

10. 错误 - 在重置密码时，服务器不愿意处理请求，密码不符合复杂性要求

11. 错误代码: 8007052e

12. 错误代码: 80070775

13. 错误代码: 800708c5

14. 没有匹配的用户。请验证搜索查询中的 LDAP 属性

1. 错误代码 - 80070005 / 错误代码 - 5 : 设置属性时出错，访问被拒绝

原因： 用户账户对对象没有足够的权限。

解决方案：

• 使用“管理员”凭据登录 ADSelfService Plus。
• 点击右上角的“域设置”。
• 点击编辑图像以“编辑域详细信息”。
• 检查“认证”并提供特权“域用户名”和“域密码”。
• 保存更改并继续操作。

问题

2. 在重置用户密码时，我收到以下错误信息 "设置密码时出错。网络路径未找到 - 错误代码: 80070035"

在为用户设置密码时，如果无法联系目标机器，会出现此错误。当运行 ADSelfService Plus 的机器关联的 DNS 没有指向创建用户账户的域控制器（可能两个在不同域中）时可能会发生这种情况。

问题

3. 在重置用户密码时，我收到以下错误信息 "设置密码时出错。存在命名违规 - 错误代码 : 80072037"

此错误的一个可能原因是密码包含了一些不允许的特殊字符。

问题

4. 在更新用户信息时，我收到以下错误信息 "服务器不愿意处理请求 - 错误代码 : 80072035"

此错误的一个可能原因是：

1. 在修改多个用户的 sAMAccountName 格式时，如果不止一个用户有相同的 sAMAccountName。

问题

5. 在更新用户信息时，我收到以下错误“错误设置终端服务属性。指定的用户不存在 - 错误代码: 525”

一个可能的原因是运行产品的用户或系统账户在目标域中没有账户。只有运行 ADSelfService Plus 的用户账户或系统账户（适用于 ADSelfService Plus 作为服务运行时）在目标域中有账户，才能设置终端服务属性。

问题

6. 我已使用 ADSelfService Plus 更新了 Exchange 属性，但属性尚未在 Exchange Server 中更新。

ADSelfService Plus 在 Active Directory 中修改了 Exchange 属性。更改可能不会立即反映在 Exchange Server 中。经过一段时间后将会更新。

问题

7. 我无法为用户设置终端服务属性？

一个可能的原因是运行产品的用户或系统在该域中没有账户。

请参阅此处以在用户或系统账户中启动 ADSelfService Plus。

问题

8. 当我修改用户时，收到以下错误“附加到系统的设备无法正常工作 - 错误代码: 8007001f”

此错误的可能原因可能是：

1. 修改用户时选择了不可接受的命名属性格式。例如，如果选择的登录名格式为 LastName.FirstName.Initials，并且用户未指定这些属性之一，则会发生此错误。

问题

9. 用户的电子邮件地址未显示或设置不正确？

可能的原因可能是：

1. 电子邮件可能未按收件人策略设置。 检查收件人策略查询中的所有 ldap 属性是否设置为特定值。

2. 检查用户账户属性中是否输入了电子邮件的属性。例：xyz@company.com。公司应输入到用户中。

问题

10. 错误 - 在重置密码时服务器不愿处理请求，其密码不符合密码复杂性要求

可能的原因可能是：

您可能未在创建用户账户时指定或选择“密码复杂性”中的任何选项。

问题

11. 错误代码：8007052e

原因是，提供的凭据无效。

问题

12. 错误代码：80070775

原因：引用的账户当前被锁定，可能无法登录。

问题

13. 错误代码：800708c5

原因： 密码不符合密码策略要求。检查密码的最小长度、密码复杂性和密码历史要求。

问题

14.没有匹配的用户。验证搜索查询中的LDAP属性

原因：在AD中没有用户与您提供的条件匹配。尝试选择正确的匹配属性，通过检查"AD中的用户匹配条件"中提供的查询，这可以通过点击"在AD中更新"按钮并展开"选择属性"框来获得。

问题

返回模块

Active Directory 更改密码

Active Directory 报表

1. 当我指定详细信息并生成报表时，它显示“无可用结果”或数据不完整

2. AD 报表显示 Active Directory 中不存在的对象？

1. 当我指定详细信息并生成报表时，它显示“无可用结果”或数据不完整

这可能是因为以下任何原因：

• 当 ADSelfService Plus 无法联系域控制器，因为它没有运行或由于网络不可用。
• 在多个域控制器的情况下，当数据未在所有域控制器中复制。
• 用于确定不活动用户和计算机的LastLogonTime未在所有域控制器中复制。因此，您需要在域设置中指定所有域控制器，以使ADSelfService Plus能够从所有域控制器检索数据。
• 当密码策略未设置（即最大密码年龄设置为零）时，密码过期用户报表和即将密码到期用户报表将不会显示任何数据。

问题

2. AD 报表显示不存在于 Active Directory 中的对象？

这种不匹配可能发生在数据与 Active Directory 未同步时。与 Active Directory 的数据同步每天在 1:00 进行。如果 ADSelfService Plus 在那时未运行，您可以通过单击 域设置中该域的刷新 图标手动启动数据同步。

问题

返回模块

GINA 故障排除

1. 我收到错误消息：“远程服务连接初始化失败”。为什么？

2. 我收到错误消息：“找不到网络路径/凭证无效”。为什么？

3. 我收到错误消息：“找不到网络路径”。为什么？

4. 无法将 MSI 文件“ADSelfServicePlusClientSoftware.msi”复制到客户端电脑。为什么？

5. 无法连接到客户端电脑，ADMIN$。访问被拒绝。

6. 登录失败：目标账号名称不正确。

7. 登录失败：未知的用户名或错误的密码。

8. 另一安装已经在进行中。

9. 无法启动远程服务。重叠的 I/O 操作正在进行中。

10. 操作失败：不支持的操作系统

11. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，收到以下错误：“无法将 PAExec 复制到机器。”

12. 当我尝试从 ADSelfService Plus 控制台将登录代理安装到远程服务器时，收到以下错误：“无法在远程服务器上安装/启动 PAExec 服务。”

13. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，收到以下错误：“未找到对象”或“0x80041002 (WBEM_E_NOT_FOUND)。”

14. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，收到以下错误：“DCOM 安全拒绝访问。用户没有通过 DCOM 访问计算机的远程权限。”

15. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，收到以下错误：“远程过程调用服务器不可用。”

1. 我收到错误消息：“远程服务连接初始化失败”。为什么？

如果目标计算机无法联系到，可能会发生此错误。

• 确保此类计算机确实存在。如果存在，确保它已连接到网络。
• 要检查连接性，请从安装有 ADSelfService Plus 的服务器上 ping 此计算机。
• 确保远程注册表服务在客户端电脑上正在运行。

问题

2. 我收到错误信息：“网络路径未找到/凭据无效”。为什么？

如果无法联系目标计算机，可能会出现此错误。

• 确保该计算机确实存在。如果存在，确保它已连接到网络。
• 要检查连接性，从安装了ADSelfService Plus的服务器ping此计算机。

问题

3. 我收到错误信息：“未找到网络路径”。为什么？

如果无法联系目标计算机，可能会出现此错误。

• 确保该计算机确实存在。如果存在，确保它已连接到网络。
• 要检查连接性，从安装了ADSelfService Plus的服务器ping此计算机。

问题

4. 无法将MSI文件“ADSelfServicePlusClientSoftware.msi”复制到客户端计算机。为什么？

可能原因 : 访问客户端计算机的权限不足。

解决方案 : 如果ADSelfService Plus以应用程序方式运行，请更新“域设置”中提供的凭据。如果它以服务方式运行，请通过编辑“Services.msc”中的“登录”选项卡更新服务帐户的凭据。

问题

5. 无法连接到客户端计算机，ADMIN$。拒绝访问。

可能原因 : 未启用管理员共享。

解决方案 : 在客户端计算机上启用管理员共享，并使用具有访问管理员共享所需权限的用户凭据配置ADSelfService Plus域设置。

步骤1：启用管理员共享

1. 在客户端计算机上，进入 开始→运行，输入gpedit.msc 并按回车。
2. 展开管理模板→网络→网络连接→Windows防火墙。
3. 点击域配置文件并双击Windows防火墙：允许入站远程管理例外。
4. 选择启用并点击确定。

步骤2：使用具有访问管理员共享权限的用户帐户更新ADSelfService Plus中的域设置。

1. 当ADSelfService Plus在控制台模式下运行时，更新ADSelfService Plus中“域设置”下提供的凭据。
2. 当ADSelfService Plus以服务方式运行时，编辑“Services.msc”属性中的“登录”选项卡以更新服务帐户的凭据。

问题

6. 登录失败：目标帐户名称不正确。

如果两个计算机具有相同的计算机名称，可能会出现此错误。一台计算机位于子域中，另一台计算机位于父域中。

问题

7. 登录失败：未知用户名或密码错误。

原因 : 可能未启用管理员共享。

解决方案 : 提供具有适当管理凭据的帐户，通过配置域设置（在控制台模式下运行时）/“登录”选项卡（在服务方式运行时）来解决问题。

问题

8. 另一个安装正在进行中。

解决方案 : 请稍后几分钟后尝试安装。

问题

9. 无法启动远程服务。重叠的 I/O 操作正在进行中。

解决方案：尝试在客户端计算机上启用“远程注册表”和“服务器”服务。

问题

10. 操作失败：不支持的操作系统

机器的操作系统不支持远程安装。

问题

11. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，收到以下错误：“无法将 PAExec 复制到机器上。”

原因：用户账户对对象没有足够的权限。

解决方案：

• 使用管理员凭证登录 ADSelfService Plus。
• 点击网页右上角的域设置。
• 在动作部分，点击编辑域详情按钮。
• 选择身份验证，然后提供具有域管理员权限的账户的域用户名和域密码。
• 点击保存。

12. 当我尝试将登录代理从 ADSelfService Plus 控制台安装到远程服务器时，收到以下错误：“PAExec 服务无法在远程服务器上安装/启动。”

原因：PAExec 被防火墙或杀毒软件阻止。

解决方案：更改杀毒软件和防火墙设置以允许 PAExec 服务。

当我尝试从 ADSelfService Plus 控制台安装登录代理时，收到以下错误：“找不到对象”或“0x80041002 (WBEM_E_NOT_FOUND)。”

原因：WMI 仓库可能已损坏。

解决方案：要解决 WMI 仓库损坏问题，请按照此链接中的步骤操作。

解决方法：

1. 使用管理员账户登录 Windows Server 机器。
2. 打开组策略管理控制台 (GPMC)，并在您的域中右键单击默认域策略。
3. 在打开的组策略管理编辑器窗口中，转到计算机配置 → 策略 → 管理模板：从本地计算机（ADMX 文件）检索到的策略定义 → 系统 → 组策略。在右侧窗格中，选择关闭策略结果集日志记录。
4. 启用关闭策略结果集日志记录以禁用策略结果集 (RSoP)。

13. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，收到以下错误：“DCOM 安全性拒绝访问。用户无法通过 DCOM 远程访问计算机。”

原因 1：扫描提供的登录名或密码在工作站中无效。

解决方案：检查登录名和密码是否输入正确。

原因 2：用户无法通过分布式组件对象模型 (DCOM) 远程访问计算机。

解决方案：

1. 使用管理员凭证登录到您的系统。
2. 进入控制面板 → 管理工具 → 组件服务，或从搜索栏输入DCOMCnfg.exe，点击Enter打开组件服务对话框。
3. 在“组件服务”对话框中展开组件服务，然后展开计算机，右键单击我的电脑。点击属性。
4. 在“我的电脑属性”对话框中，进入COM 安全选项卡。
5. 在启动和激活权限下选择编辑限制。
6. 在打开的“启动和激活权限”对话框中，如果您或您所属的组未出现在组或用户名列表中，请点击添加。
7. 在弹出的“选择用户、计算机或组”对话框中，在“输入要选择的对象名称”字段中添加您的名称和组。点击确定。
8. 在“启动和激活权限”对话框中，在“组或用户名”框中选择您的用户和组。在用户权限字段下，在允许列中选择远程启动和远程激活。点击确定。

现在用户应通过DCOM拥有对该计算机的远程访问权限。

原因3：DCOM可能未配置为允许WMI连接。

解决方法：如果计算机中的DCOM未配置为允许WMI连接，则在需要接受WMI连接的计算机上按照以下步骤进行操作。

1. 使用管理员凭据登录系统。
2. 进入控制面板 → 管理工具 → 组件服务，或从搜索栏输入DCOMCnfg.exe以打开组件服务对话框。
3. 在“组件服务”对话框中展开组件服务，然后展开计算机，右键单击我的电脑。点击属性。
4. 在“我的电脑属性”对话框中，点击COM 安全性选项卡。
5. 在“访问权限”部分下点击编辑限制。
6. “访问权限”对话框弹出。在“组或用户名”部分下选择匿名登录。在用户权限部分下选择远程访问。点击确定。

原因4：远程工作站中的远程DCOM选项已禁用。

解决方法：检查远程工作站中是否启用了远程DCOM。如果没有，请按照以下步骤启用：

1. 选择开始 > 运行。
2. 在文本框中输入DCOMCnfg.exe，然后点击确定。
3. 点击组件服务 > 计算机 > 我的电脑。
4. 右键单击并选择属性。
5. 选择默认属性选项卡。
6. 检查在此计算机上启用分布式COM旁的复选框。
7. 点击确定。

原因5：目标机器中的用户账户无效。

解决方法：通过打开命令提示符并执行以下命令，检查目标机器上的用户账户是否有效：

net use \\<RemoteComputerName>C$ /u:<DomainNameUserName> "<password>"

net use \\<RemoteComputerName>ADMIN$ /u:<DomainNameUserName> "<password>"

如果这些命令显示任何错误，说明所提供的用户账户在目标机器上无效。

原因6：用于扫描的用户名没有足够的访问权限来执行扫描操作。该用户可能不属于该设备机器的管理员组。

解决方法：

解决方案：将用户移动到工作站的管理员组，或使用管理员（最好是域管理员）帐户扫描机器。

解决方案：将用户移动到工作站的管理员组，或使用管理员（最好是域管理员）帐户扫描机器。

原因 7：远程计算机上配置了防火墙。此类例外情况多发生在启用默认 Windows 防火墙的 Windows XP（SP 2）中。

解决方案：禁用 Windows XP 机器上的默认防火墙：

1. 选择 开始 → 运行
2. 键入 Firewall.cpl 并点击 确定
3. 在 常规 选项卡中，点击 关闭
4. 点击 确定

如果无法禁用防火墙，请通过在 命令提示符 中执行以下命令，为远程机器上的管理员启动 远程管理：

netsh firewall set service RemoteAdmin

扫描后，您可以使用以下命令禁用远程管理：

netsh firewall set service RemoteAdmin disable

原因 8：远程 Windows 工作站上无法使用 WMI。这种情况发生在 Windows NT 上。如果 WMI 组件未正确注册，也可能在更高版本的 Windows 中出现此类错误代码。

解决方案：在远程工作站安装 WMI。请参考以下步骤以获取帮助。

如果 WMI 组件未注册，请通过在命令提示符中执行以下命令来注册 WMI DLL 文件：winmgmt /RegServer

原因 9：设备计算机上运行的 WMI 服务（winmgmt.exe）存在一些内部执行失败。该工作站中 WMI 存储库的最后一次更新可能失败。

解决方案：

在远程工作站重启 WMI 服务：

1. 选择 开始 → 运行
2. 键入 Services.msc 并点击 确定
3. 在打开的服务窗口中，选择 Windows Management Instrumentation 服务。
4. 右键点击并选择 重启

14. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，出现以下错误：“远程过程调用服务器不可用。”

原因：计算机的远程过程调用 (RPC) 端口被防火墙阻止。

解决方案：更改防火墙设置以允许 RPC 端口。

15. 当我尝试从 ADSelfService Plus 控制台安装登录代理时，在 Windows Server 2003 中出现代码 80041010 的错误，“发生致命错误。”

原因：在 Windows 2003 Server 中，默认情况下未安装 Win32_Product 类。

解决方案：要添加 Win32_Product 类，请按照以下步骤操作：

1. 在“添加或删除程序”中，选择 添加/删除 Windows 组件。
2. 在 Windows 组件向导中，选择 管理和监控工具，然后点击 详细信息。
3. 在管理和监控工具对话框中，选择 WMI Windows Installer Provider 并点击 确定。
4. 点击 下一步。

返回至模块

当我尝试从 ADSelfService Plus 控制台安装登录代理时，出现以下错误：“DCOM 安全访问被拒绝。用户没有通过 DCOM 访问计算机的权限。”

Mac 登录代理故障排除

1. 连接超时。

2. 连接被拒绝。

3. 未找到网络路径。

4. 登录失败：未知的用户名或错误的密码。

5. 权限被拒绝

6. 无效的服务账户凭证

7. 对服务账户的权限不足。

8. 未找到域的身份验证详细信息

1. 连接超时。

可能原因： 你尝试安装登录代理的macOS客户端未启动或者未连接到域网络。

解决方案：

• 启动客户端并确保其已连接到域网络。通过从ADSelfService Plus服务器ping macOS客户端来检查连接。一旦确认有连接，请再次尝试安装登录代理。
• 如果与mac客户端的连接正常，则检查mac与AD的整合。

问题

2. 连接被拒绝。

• 打开Mac客户端，进入首选项 → 共享 并检查是否启用了远程登录。
• 检查“域设置”中提供的用户账户是否启用了远程登录访问。

问题

3. 未找到网络路径。

如果无法联系目标计算机，则可能会发生此错误。

• 确保此类计算机确实存在。如果存在，确保其连接到网络。
• 为了检查连接性，从安装了ADSelfService Plus的服务器ping此计算机。

问题

4. 登录失败：未知的用户名或错误的密码。

• 服务账户的用户名或密码不正确。
• 另外，去目录实用程序中的目录编辑器，并检查“域设置”中提供的用户凭据是否能连接到Active Directory节点。

问题

5. 权限被拒绝

可能原因：服务账户没有对目标macOS客户端所需的管理权限。

解决方案：按照以下步骤为服务账户提供管理权限：

1. 在目标macOS客户端中，进入系统偏好设置 → 用户与群组 → 登录选项 → 编辑 → 打开目录实用工具。
2. 在服务选项卡中，点击管理部分。
3. 选择允许管理复选框，并包括用于运行ADSelfService Plus服务器的服务账户。
4. 确认。
5. 验证macOS客户端与AD的整合。
   • 进入目录实用工具 → 目录编辑器 → <您的Active Directory节点>。如果连接成功，你将能够看到AD对象。
   • 如果连接AD节点失败，尝试从macOS客户端ping域控制器（DC）。
   • 如果可以连接到 DC 并且问题仍然存在，取消绑定并尝试重新绑定 macOS 客户端与 AD。

问题

6. 服务账户凭证无效

可能原因：域设置中服务账户凭证无效或已过期。

解决方案：更新正确的服务账户凭证。同时，验证 macOS 客户端与 AD 的集成。

问题

7. 服务账户权限不足。

可能原因：服务账户没有执行目标 macOS 客户端上远程安装软件包所需的 root 权限。

解决方案：通过以下步骤为服务账户提供root 权限：

• 进入终端窗口 → 执行命令 sudo visudo 并导航到 #User privilege specification 部分。
• 确保目标账户具有 root 权限，即，<username> ALL=(ALL) ALL.

问题

8. 找不到域的身份验证详细信息。

可能原因：ADSelfService Plus 域设置中的服务账户权限不足。

解决方案：提供具有管理员权限的域用户凭证。

问题

返回模块

Linux 登录代理故障排除

1. 连接超时。

2. 连接被拒绝。

3. 未找到网络路径。

4. 权限被拒绝/服务账户权限不足。

5. 服务账户凭证无效

6. 找不到域的身份验证详细信息

7. 设置依赖项时操作失败。

1. 连接超时。

可能原因：您尝试安装登录代理的 Linux 机器已关闭或未连接到域网络。

解决方案：

• 启动客户端并确保其已连接到域网络。通过从 ADSelfService Plus 服务器 ping Linux 机器来检查连接。一旦确认有连接，尝试重新安装登录代理。
• 如果连接到 Linux 机器正常，那么检查 Linux 与 AD 的集成。

问题

2. 连接被拒绝。

可能原因：SSH 服务器软件在 Linux 客户端中未激活。

解决方案：确保 SSHD 服务在 Linux 客户端中已安装并处于活动状态。

问题

3. 未找到网络路径。

如果无法联系目标计算机，则可能出现此错误。

• 确保该计算机确实存在。如果存在，确保它已连接到网络。
• 为了检查连接性，从安装了 ADSelfService Plus 的服务器 ping 这台计算机。

问题

4. 权限被拒绝 / 服务账户权限不足。

可能原因：在 ADSelfService Plus 中配置的服务账户对目标 Linux 客户端没有所需的 root 权限。

解决方法：按照以下步骤为服务账户提供root 权限：

• 转到终端窗口 → 执行命令sudo visudo，并导航到用户权限规范部分。
• 确保目标账户具有 root 权限，即 <username> ALL=(ALL) ALL.

问题

5. 无效的服务账户凭证

可能原因：在域设置中服务账户凭证无效或已过期。

解决方法：在域设置中更新正确的服务账户凭证。

问题

6. 域中找不到身份验证详细信息。

可能原因：在 ADSelfService Plus 的域设置中服务账户权限不足。

解决方法：提供具有管理员权限的域用户凭证。

问题

7. 设置依赖项时操作失败。

可能原因：

• 网络连接不佳。
• 下载权限不足。

解决方法：提供具有管理员权限的域用户凭证。

• 检查 Linux 客户端的网络连接。如果网络连接良好，请检查 Linux 包管理器是否可以联系到存储库。如果可以联系到存储库，可以从 ADSelfService Plus 管理控制台重新安装 Linux 登录代理。
• 由于opensuse.org的文件下载权限不足，可能无法安装 lightdm-webkit2-greeter 软件包。

问题

返回模块

故障排除推送通知

1. 错误代码：70050A，错误代码：70060AA，错误代码：70060AI，错误代码：70050CF，错误代码：70050ACF，错误代码：70050ICF
2. 错误代码：70050PF，错误代码：70050APF，错误代码：70050IPF

1. 错误代码：70050A，错误代码：70060AA，错误代码：70060AI，错误代码：70050CF，错误代码：70050ACF，错误代码：70050ICF。

这些错误是由于推送通知证书无效或推送服务器端存在问题而发生的。请联系 ADSelfService Plus 支持团队 以求解决。

2. 错误代码：70050PF，错误代码：70050APF，错误代码：70050IPF。

如果您在防火墙设置中没有打开必要的端口和 IP/主机地址，将会出现此错误。

• 在您的防火墙设置中打开以下端口，以便 ADSelfService Plus Web 服务器可以与 Apple 和 Google 的推送服务器通信：
  • 对于苹果服务器：5223，2195，2196，443
  • 对于谷歌服务器：5228，5229 和 5230，80/443
• 此外，您必须授予以下 IP/主机地址的访问权限：
  • 适用于 Apple 服务器：gateway.push.apple.com 和 feedback.push.apple.com
  • 适用于 Google 服务器：所有出站 IP，使用端口 80/443 或简单地打开 Google ASN IP。
  注意：如果您的组织政策不允许解除对上述 IP 的阻止，请根据您的组织政策通过代理服务器将请求路由到这些 IP。当您使用代理服务器时，请记得在产品中配置代理设置。

错误代码

返回模块

短信服务器设置和 SSLHandshakeException 故障排除

描述：当您在 ADSelfService Plus 中配置带有 SSL 的 SMTP 邮件服务器或 Web 服务器，且服务器使用自签名证书时，会发生此异常。除非明确导入，ADSelfService Plus 使用的 Java 运行时环境将不信任自签名证书。

解决方案：您需要将服务器使用的自签名证书导入到 ADSelfService Plus 使用的 JRE 包中。请按照以下步骤操作：

步骤 1：下载证书

• 对于 SMTP 服务器：
  
  注意：要下载 SMTP 服务器使用的证书，您必须安装 OpenSSL。您可以从这里下载。
  • 打开命令提示符并切换到 OpenSSL 安装位置的 bin 文件夹。
  • 现在运行以下命令
  • openssl.exe s_client -connect SMTPServer:Portno -starttls smtp > certificatename.cer
  • 例如，openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp > gmailcert.cer
• 对于 Web 服务器：
  • 在浏览器中打开 Web URL。
  • 单击地址栏的挂锁图标。
  • 点击更多信息。这将打开显示该 Web 服务器使用的证书的证书查看器窗口。
  • 点击查看证书。
  • 当显示证书信息机构的证书窗口打开时，点击详细信息选项卡。
  • 点击复制到文件。
  • 在打开的证书导出向导中，点击下一步。
  • 选择格式为 DRE 编码的二进制 X.509 (.CER) 并点击下一步。
  • 输入您希望保存文件的路径并点击完成。

步骤 2：将证书导入 ADSelfService Plus 的 JRE 包中

• 打开命令提示符并切换到 \jre\bin 文件夹。例如：C:\ManageEngine\ADSelfService Plus\jre\bin
• 运行以下命令
• Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file
• 例如：Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
• 当提示输入密码时，输入 changeit
• 当提示 Yes or No 时输入 y
• 关闭命令提示符并重启 ADSelfService Plus。

返回模块

SAML 认证 - 无效证书

描述：

这个错误可能出现在您在ADSelfService Plus中配置SAML身份验证时使用了身份提供者的无效X.509证书。证书被视为无效的原因可能包括如下几点：

• 证书已过期。
• 证书的有效开始日期尚未来临。
• 您选择了不同的证书，例如SSL根证书。
• 证书内容不是PEM格式。

解决方案：请再次从您的身份提供者处下载当前的X.509证书并将其上传到ADSelfService Plus中。

返回模块

SAP Netweaver故障排除

1. API文件不兼容。请确保您正在使用SAP Java Connector 3.0版本的API文件。

2. 目标系统无法访问。

1. API文件不兼容。请确保您正在使用SAP Java Connector 3.0版本的API文件。

可能原因： SAP Java Connector未放置在<ADSelfService安装目录>/lib位置或连接器版本不满足要求。

解决方案：

• 确保SAP Java连接器[sapjco3.dll，sapjco3.jar]放置在<ADSelfService安装目录>/lib位置。
• 确保SAP Java连接版本大于3.0。
• 如果正在使用Java Connector 3.1，请确保在安装ADSelfService Plus的机器上安装了Visual Studio 2013 C/C++运行时库。
• 如果正在使用Java Connector 3.0，请确保在安装ADSelfService Plus的机器上安装了Microsoft Visual Studio 2005 C/C++运行时库。

2. 目标系统无法访问。

可能原因：由于网络问题无法访问SAP服务器。

解决方案：

• 确保可以从安装了ADSelfService Plus的机器访问SAP服务器主机地址。
• 确保防火墙允许SAP服务器端口。

返回模块

终端设备的MFA

1. VPN登录的MFA问题

如果VPN登录的MFA无法工作，请执行以下操作：

• 检查您已安装的RADIUS服务器中的NPS扩展日志。默认情况下，它们可以在C:\Program Files\ManageEngine\ADSelfService Plus NPS Extension\NpsExtension.log中找到。根据错误，尝试以下解决方案：
• 连接性问题
• 确保ADSelfService Plus可以从NPS（RADIUS）服务器访问。
• 如果您在ADSelfService Plus中使用了不受信任的证书，请将其添加到NPS服务器的受信任根证书颁发机构列表中。
• API授权失败
• 确保ADSelfService Plus服务器和NPS服务器的时间根据其时区是正确的。
• 如果您无法从NPS扩展日志中找到任何问题，请使用事件查看器检查NPS服务器的事件日志，以查找RADIUS认证相关的日志。

2. 如果在设置 NPS 扩展后 VPN MFA 未能按预期工作，您可以：

• 分析 NPS 扩展日志（默认位置：C:\Program Files\ManageEngine\ADSelfService Plus NPS Extension\NpsExtension.log），查找以下可能的错误信息：
• httpErrCode: XXXX
• httpErrorCode: 12002：NPS 服务器无法访问 ADSelfService Plus 服务器。
• 解决方法：检查 NPS 服务器是否可以访问 ADSelfService Plus 服务器。如果 ADSelfService Plus 服务器无法访问，确保该服务器已在注册表 HKLM:\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS Extension 中正确配置。确保以下值配置正确：
1. ServerName：ADSelfService Plus 服务器的主机名或 IP 地址。
2. ServerPortNo：ADSelfService Plus 服务器的 TCP 端口号。
3. ServerContextPath：ADSelfService Plus 服务器上下文（如有更改）。
• httpErrorCode: 12175：ADSelfService Plus 服务器的证书不被 NPS 服务器信任。
• 解决方法：如果 ADSelfService Plus 的服务器证书不被 NPS 服务器信任，打开 certmgr.exe，并将用于签署 ADSelfService Plus 服务器域证书的 CA 证书添加到本地计算机的 受信任的根证书颁发机构，而不仅是当前用户。
• 由于 MFA API 授权失败而拒绝访问
• 问题：在 MFA 过程中，ADSelfService Plus 服务器未能授权 NPS 扩展。
• 可能的原因：
• 原因 1：NPS 服务器或 ADSelfService Plus 服务器的系统时间无效或服务器间的时间差超过两分钟，因此不同步。
1. 解决方法：更新正确的时间。
• 原因 2：用于授权 NPS 扩展的共享密钥可能无效。为确保这一点，检索实际的密钥并与注册表中的密钥进行比较。
1. 解决方法：重新下载 NPS 扩展，解压并打开 .PS1 脚本，检索密钥。
2. 手动更新注册表中的密钥或使用命令 <...\AdsspNpsExtension> .\setupNpsExtension.ps1 update 更新密钥。
• 根据 MFA 服务器拒绝用户访问
• 问题：ADSelfService Plus 服务器拒绝用户访问，因此用户无法登录到 VPN 提供商。
• 可能的原因：用户无效或未在 ADSelfService Plus 中启用 MFA。
• 解决方法：
• 确保该用户是 ADSSP 配置的某个域中的有效用户。
• 确保用户已启用配置的 VPN MFA 因素。
• 如果需要允许首次用户登录或未注册用户登录而无需 MFA，启用 当用户未注册所需认证器时跳过 MFA，在高级 MFA设置中。
• preValidate - 结果: 0
• 问题调整 : 调用MFA的预验证条件为假，因此NPS扩展不调用MFA。
• 可能原因:
• 注册表属性MfaStatus设置为假。管理员可能在启用VPN MFA之前从ADSelfService Plus下载了NPS扩展。
1. 修复: 在注册表中将MfaStatus更新为真。
• 管理员可能配置了CRPolicies或NetworkPolicies，但这些条件可能未满足。
1. 修复: 将CRPolicies或NetworkPolicies更改为包含必要用户的策略。
• 用户没有挑战或没有响应
• 问题: NPS扩展无法从RADIUS请求中读取OTP/TOTP。
• 可能原因: RADIUS客户端（VPN、Netscaler服务器或其他）与NPS服务器之间使用的RADIUS认证协议可能是MS-CHAPv2、EAP或其他不支持的协议。
• 修复:
• 将RADIUS认证协议更改为PAP，因为只有该协议支持基于挑战的认证。
• 确保RADIUS客户端在RADIUS请求的User-Password属性中设置了OTP或TOTP。

• 如果NPS扩展日志未显示任何错误，检查下列问题是否存在：
• 问题: RADIUS或NPS配置问题。
• 修复: 检查事件查看器（自定义视图→网络策略和访问服务器角色）是否有RADIUS认证相关日志。
• 问题: RADIUS客户端（VPN或其他终端服务器）在开始MFA之前停止了MFA。
• 修复:
• 确保RADIUS客户端（VPN服务器或任何RADIUS客户端）和RADIUS服务器（NPS）的 RADIUS认证超时设置（如果有）大于在ADSelfService Plus中配置的VPN MFA会话时间值。
• 参考此文档，启用保持VPN MFA会话有效__分钟选项，位于VPN登录MFA下。
• 每个RADIUS客户端（VPN服务器或其他）都会有特定的超时设置，必须正确配置以使MFA（特别是基于挑战的认证）正常工作。在RADIUS客户端中设置正确的时间值。例如，当使用Fortinet时, set remoteauthtimeout <num_of_secs> 命令将使RADIUS请求在提到的秒数内有效。

返回模块