User lookup fails with PartialResultException in Jira server

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

問題

Accessing LDAP, such as searching for users in JIRA applications, Confluence or Crowd (with AD integrated) fails with the exception below:

Caused by: javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: DomainDnsZones.example.net:389 
[Root exception is java.net.ConnectException: Connection refused: connect]]

その他のルート例外として次のものが考えられます。

  • javax.naming.PartialResultException
  • java.net.UnknownHostException

説明

Active Directory servers are integrated with DNS, and modify entries in the DNS server. They refer to themselves in the root of their LDAP tree. If the JIRA application (or Crowd, or Confluence) server is pointed to the root of the LDAP tree, and "follow referrals" is turned on (which is the default), then:

  1. The application will search for users.
  2. AD server will respond with users and the referral that's in the root of the LDAP tree, because there could be more users over there.
  3. The application  will follow the referral. This will result in:.
    1. A DNS lookup of the base DN ( dc=example,dc=com means a lookup for example.com)
    2. example.com のポート 389 または 636 へのコネクション。これは同じサーバーに戻ります。
  4. The JIRA application will continue and read the rest of the objects in the domain as normal.

診断

この問題に該当するかどうかを確認するには、次の手順を実行します。

  1. ユーザー ディレクトリ構成の [高度な設定] セクションで [照会に従う] を無効化します。
  2. LDAP サーバーのルート DN に接続します。
  3. ログにエラーが表示されない場合、これは DNS エラーです。

原因

JIRA applications, Crowd or Confluence can't perform a DNS lookup on the referral in the AD server root. Problems like this are most commonly caused by the server that the JIRA application is running on not having the same DNS server as the Active Directory server.

ソリューション

DNS 構成の問題の修正

  1. Configure the server that the JIRA application is running on to use the DNS server that the Active Directory server is integrated with.
  2. Double check if the DNS server address has been changed recently. Since DNS server record the JIRA applications information, please delete the JIRA application address information from the DNS server to resolve the issue.
  3. これを行えない場合は [照会に従う] を無効化します。
tip/resting Created with Sketch.

[照会に従う] を無効化するとどうなりますか?

  • 1 つのドメインのみを保持している場合、設定変更による悪影響はありません。
  • フォレストに複数のドメインが参加している場合、クロスドメイン メンバーシップが解決されなくなります。
  • If you must have cross-domain memberships and you can't fix the DNS issues, then you can point JIRA at your Global Catalog. This is read-only, but it does contain all users, groups, and memberships from across your Forest. Talk to your AD admin for Global Catalog connection details.
最終更新日 2019 年 9 月 25 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.