如何解決 LDAP 錯誤 53 (WILL_NOT_PERFORM)？

我正在嘗試讓 CentOS 7 伺服器加入 AD，但會導致錯誤：

AD LDAP ERROR：53（伺服器不願意執行）：0000216D：SvcErr：DSID-031A1241，問題5003（WILL_NOT_PERFORM），數據0

命令執行：

[root@myserver ~]# realm join --user='dr@example.org' --computer-ou=OU=ABC,OU=Servers,OU=ACME,OU=Units,DC=example,DC=org example.org
Password for dr@example.org:
See: journalctl REALMD_OPERATION=r12682208.2790
realm: Couldn't join realm: Joining the domain example.org failed

[root@myserver ~]# journalctl REALMD_OPERATION=r12682208.2790 --no-pager
-- Logs begin at Mon 2022-04-25 14:28:51 CEST, end at Tue 2022-04-26 13:51:12 CEST. --
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Resolving: _ldap._tcp.example.org
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Performing LDAP DSE lookup on: 10.1.1.1
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Performing LDAP DSE lookup on: 10.2.2.2
Apr 26 13:49:01 myserver.example.org realmd[2794]:  * Successfully discovered: example.org
Apr 26 13:49:08 myserver.example.org realmd[2794]:  * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
Apr 26 13:49:08 myserver.example.org realmd[2794]:  * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.HGKCL1 -U dr@example.org ads join example.org createcomputer=Units/ACME/Servers/ABC
Apr 26 13:49:09 myserver.example.org realmd[2794]: Enter dr@example.org's password:ads_print_error: AD LDAP ERROR: 53 (Server is unwilling to perform): 0000216D: SvcErr: DSID-031A1241, problem 5003 (WILL_NOT_PERFORM), data 0
Apr 26 13:49:09 myserver.example.org realmd[2794]:
Apr 26 13:49:09 myserver.example.org realmd[2794]:
Apr 26 13:49:09 myserver.example.org realmd[2794]: Failed to join domain: failed to precreate account in ou ou=ABC,ou=Servers,ou=ACME,ou=Units,dc=example,dc=org: Server is unwilling to perform
Apr 26 13:49:09 myserver.example.org realmd[2794]:  ! Joining the domain example.org failed

使用的帳戶有權將伺服器添加到域。（在 MS Windows AD 上測試。）

--verbose選項realm不顯示任何額外的有用資訊。

我怎樣才能找到問題的根源？

您遇到的錯誤來自 Active Directory 伺服器本身。因此，詳細的錯誤消息（如果存在）很可能位於 Active Directory 伺服器上的“事件日誌”中。

您的錯誤的根本原因：

這看起來像是您的 AD 伺服器上的配置問題。“系統錯誤程式碼”0000216D記錄在這裡1：

ERROR_DS_MACHINE_ACCOUNT_QUOTA_EXCEEDED

8557 (0x216D)

您的電腦無法加入域。您已超過允許在此域中創建的最大電腦帳戶數。請聯繫您的系統管理員以重置或增加此限制。

AD 伺服器預設配置為只允許 10 台機器（每個使用者？）加入域。記錄在這裡：

MS-DS-Machine-Account-Quota 屬性

允許使用者在域中創建的電腦帳戶數。

這可以重新配置。

我不是 MS Windows 出口，所以我不能輕易地告訴你如何重新配置​​它……但網際網路上有很多例子。你可以在Google上搜尋上面的文字，或者試試這個：

• https://niallbrady.com/2019/02/21/how-to-fix-exceeded-the-maximum-number-of-computer-accounts-allowed-to-create-in-this-domain/

如何解決 LDAP 錯誤

在 LDAP 中，大多數東西都是通過數字和OID來傳達的。儘管有像您這樣的錯誤消息，但要知道要搜尋哪個號碼可能會很棘手：

AD LDAP ERROR: 53 (Server is unwilling to perform): 0000216D: SvcErr: DSID-031A1241, problem 5003 (WILL_NOT_PERFORM), data 0

上面有四個數字可以搜尋：

• 53- 引用“伺服器不願意執行” - 這太籠統了，無法找到更多有用的資訊。
• 0000216D- 看起來像這裡有詳細記錄的系統錯誤程式碼
• DSID-031A1241- 我找不到對 DSID 含義的很好參考。它們似乎伴隨著 AD 錯誤，但似乎沒有記錄在案。
• 5003- 參考問題 WILL_NOT_PERFORM - 這太籠統了，無法找到更多有用的資訊。

---

1感謝 Simon Ren 在這裡給出的回答方向

引用自：https://unix.stackexchange.com/questions/700610