Active Directory の "照会に従う" 設定により一部のユーザーがログインできない

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

症状

Active Directory に対する同期の試行後、一部のユーザーが Confluence にログインできない。ログに次の例外が表示される。

Caused by: javax.naming.CommunicationException: DomainDnsZones.example.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]
	at com.sun.jndi.ldap.LdapReferralContext.<init>(LdapReferralContext.java:74)
	at com.sun.jndi.ldap.LdapReferralException.getReferralContext(LdapReferralException.java:132)
	at com.sun.jndi.ldap.LdapNamingEnumeration.hasMoreReferrals(LdapNamingEnumeration.java:339)
	at com.sun.jndi.ldap.LdapNamingEnumeration.hasMoreImpl(LdapNamingEnumeration.java:208)
	... 19 more

その他のルート例外として次のものが考えられます。

  • javax.naming.PartialResultException
  • java.net.UnknownHostException

説明

Active Directory サーバーは DNS と連携され、DNS サーバーのエントリを変更します。これらは自身の LDAP ツリーで自身を参照しています。Jira (または Crowd、Confluence) サーバーが LDAP ツリーのルートを指していて、"照会に従う" が有効化されている場合 (これは既定設定です)、次のようになります。

  1. Confluence がユーザーを検索します。
  2. AD サーバーは LDAP ツリーのルートにあるユーザーと照会を応答します。これは、ここには多数のユーザーがいる可能性が考えられるためです。
  3. Confluence は照会に従います。これにより次のようになります。
    1. ベース DN の DNS ルックアップ (dc=example,dc=com、つまり example.com のルックアップ)
    2. example.com のポート 389 または 636 へのコネクション。これは同じサーバーに戻ります。
  4. Confluence はドメインで引き続き残りのオブジェクトを読み取ります。

診断

この問題に該当するかどうかを確認するには、次の手順を実行します。

  1. ユーザー ディレクトリ構成の [高度な設定] セクションで [照会に従う] を無効化します。
  2. LDAP サーバーのルート DN に接続します。
  3. ログにエラーが表示されない場合、これは DNS エラーです。

原因

Jira、Crowd、または Confluence が AD サーバーのルートで、照会で DNS ルックアップを実行できません。このような問題が発生するもっとも一般的な原因として、Jira が実行されているサーバーが Active Directory サーバーと同じ DNS サーバーを使用していないことが考えられます。

ソリューション

DNS 構成の問題の修正

  1. Confluence が実行されているサーバーが Active Directory サーバーの連携先と同じ DNS サーバーを使用するように構成します。
  2. DNS サーバーのアドレスが最近変更されていないことを念のため確認します。DNS サーバーは Confluence の情報を記録するため、問題を解決するために DNS サーバーから Confluence のアドレス情報を削除してください。
  3. これを行えない場合は [照会に従う] を無効化します。
tip/resting Created with Sketch.

[照会に従う] を無効化するとどうなりますか?

  • 1 つのドメインのみを保持している場合、設定変更による悪影響はありません。
  • フォレストに複数のドメインが参加している場合、クロスドメイン メンバーシップが解決されなくなります。
    • クロスドメイン メンバーシップが必須であり、DNS の問題を解決できない場合、グローバル カタログで Confluence を指すことができます。これは読み取り専用ですが、フォレスト全体のすべてのユーザー、グループ、およびメンバーシップ情報を含みます。グローバル カタログの接続の詳細については AD 管理者にお問い合わせください。
最終更新日: 2016 年 2 月 25 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.