使用 LDAP 帐户登录 NuGenesis SDMS时，性能降低或出现 NG14837 错误 - WKB64200

故障描述

• 用户使用 LDAP 凭据登录 NuGenesis SDMS 客户端应用程序（如 WebVision 或 UNIFY）时，出现大约 20 秒的延迟

环境

• NuGenesis 9 SDMS
• NuGenesis 8 SDMS
• Microsoft Active Directory
• SDMS LDAP 配置中的 Base DN（基础 DN）设置为目录的根； 例如，DC=domain,DC=com

原因

对于针对根目录对象的所有查询，LDAP 服务器会在搜索结果中包含三个或更多引用。 当 SDMS 遵循这些引用时，它会从 DNS 获取以下任一服务器的 IP 地址：

• 不是 Active Directory 服务器（不侦听端口 389/636）
• 或者是防火墙后面的 AD 服务器，NuGenesis 服务器无法访问
• AD 服务器被配置为禁止使用 SDMS 配置中选择的连接类型

解决方法

1. 如果可能，请将 SDMS 配置中的基本 DN 设置为根目录对象的下一级；例如，ou=Users,dc=domain,dc=com，而不是 dc=domain,dc=com。当查询从根对象下方开始时，Active Directory 不会在搜索结果中包含引荐。
   • 考虑到 AD 服务器中的现有用户结构，此解决方法可能不可行。例如，如果第一级 OU=SiteName，且预计所有站点的用户都使用 SDMS，则此解决方法不切实际
2. 请使用 Global Catalog（全局目录）端口（用于明文或 startTLS 连接，使用 3268；通过 SSL 连接的 LDAP，使用 3269），不要使用标准 LDAP 端口。  全局目录的查询结果中不包含引用
3. 修改 NuGenesis Web 服务器上的 hosts 文件，使其包含指向有效且可访问的 LDAP 服务器的 ForestDnsZones.yourdomain.com、DomainDnsZones.yourdomain.com 和 yourdomain.com 条目。

附加信息

NG14837 如果通过 LDAP 继续引用参比的服务器需要 SSL/TLS 安全，而主服务器是未加密的 LDAP，则可能会出现 Invalid username/password（无效的用户名/密码）消息。通过参比到达的服务器会返回消息：The server requires bindings to turn on integrity Checking if SSL\TLS are not already active on the connection（如果 SSL\TLS 尚未在连接中处于活动状态，则服务器需要绑定以打开完整性检查）。该信息会导致SDMS中出现 NG14837 错误。