产品:Lotus Domino
平台:AIX, i5/OS, Linux, Solaris, Windows, z/OS
软件版本:6.5, 6.0, 7.0

问题描述:

您已通过配置目录服务与LDAP服务器连接。连接处于时断时续状态,有时会失败或者超时,导致HTTP用户验证失败。若在notes.ini中设置参数webauth_verbose_trace=1,您会看到错误提示如下:

NAMELookup::<LDAP GW> ldap_search returned error 85, retrying...
NAMELookup::<LDAP GW> lost connection retrying, Primal='7'

这个问题通常是由于网速缓慢或LDAP服务器的问题导致。

以上的错误意味着Domino服务器发起了一个LDAP查询,之后LDAP服务器回应了一条TCP/IP[ACK]消息,但搜索并未完成。Domino服务器直到超时(默认时间为60秒)都没有收到搜索结果。如果连接一再失败,在服务器控制台上您可能会看到下面的提示。

"Error attempting to access the Directory *LDAP.COMPANY.COM:389 (no available alternatives), error is LDAP Server is NOT available." (“尝试存取目录 *LDAP.COMPANY.COM:389 错误 :LDAP服务器不可用。 ”)

解答:

对 于这个问题有几种解决方案。首先你应该检查Domino服务器和LDAP服务器之间的连接,确保网络连接可用,并且有足够的带宽。若要测试连接,在 Domino服务器上,您可以通过命令行方式telnet到LDAP服务器的389端口,或使用ldapsearch.exe工具访问LDAP服务器。如 果断定网络连接正常,在目录服务配置文档的LDAP选项卡中,就可以调整以下设置参数来提高性能。

Type of search filter to use: Custom
Authentication Filter: (cn=%*)
搜索过滤器的类型:自定义
验证过滤条件: (cn=%*)

验 证过滤条件应该设为:用户在Web浏览器中作为用户名输入的下列属性,包括但不限于:SamAccountName,Uid和mail。由于一些LDAP 服务器可能需要较长的时间来处理复杂的搜索过滤条件,所以有必要改变过滤条件。简单的过滤条件将减少LDAP服务器的负担,也许会更快的得出查询结果。

另一个解决办法是增加LDAP选项卡中,"连接超时:"域的值,默认值为60秒,但如果预计该LDAP服务器需要更长的时间才能做出回应,则可以增加该域值。

查看使用ldapsearch功能的示例,请参阅技术文档Technote #7002627.

相关信息