用于确认AD中符合PowerShell的DN的RCF脚本

Question

第一篇文章！

这是我最近遇到的一个问题，当一个支持LDAP的应用程序在森林中19个域之一的DN中报告一个错误时，应该保持匿名，但供应商不能给我任何关于出现错误的对象的详细信息，只能是“我们对RFC遵从性非常严格，所以它可能是任何东西，我们看到了错误34”。

很有帮助吧。

我的其他LDAP感知应用程序都很好，所以这更像是一种“证明你错了”的练习。

我有一个从每个对象导出的in列表，这些对象在过去10天内从每个域中发生了更改。

9天前是这个东西坏了的时候，所以它会捕捉到他们想要说的一切。

我希望找到的是，是否有办法运行PS脚本来检查DN字符串中的RFC抱怨？

我不知道RFC涉及到什么，甚至找不到一个明确的解释，什么是被接受的，什么不被接受。

有谁有什么建议吗？

Answer 1

这只是一个猜测，但这是以前让我感到恼火的事情:你有在他们的名字中有正斜杠的账户吗？甚至是Microsoft's own code has problems with that。

DN将如下所示：

CN=test/user,OU=Users,DC=domain,DC=com

这是完全有效的(至少AD允许)。但是，如果您尝试通过LDAP直接绑定到它，并将其放入LDAP路径，则会得到以下结果：

LDAP://CN=test/user,OU=Users,DC=domain,DC=com

但是，在LDAP路径中，正斜杠是特殊字符，因此它只将路径视为LDAP://CN=test，这当然不起作用。斜杠必须转义(只需将/替换为\/)：

LDAP://CN=test\/user,OU=Users,DC=domain,DC=com

要找出您是否有任何名称中带有斜杠的帐户，您可以执行如下查询：

(&(objectClass=user)(cn=*/*))

在PowerShell中，你可以这样做：

Get-ADUser -LDAPFilter "(cn=*/*)"

如果您有任何名称中带有斜杠的OU，也可能发生这种情况。