Parameter:
LDAPDebugKurzbeschreibung: Aktiviert detailliertes Debug-Logging des LDAP-Tasks in HCL Domino — Bind-Versuche, Suchfilter, Schema-Lookups und Referrals.
Steckbrief
Parameter | LDAPDebug |
Kategorie | Logging / Debug |
Komponente | Server |
Verfügbar seit | 9.0.1 (und früher) |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = aus (Standard) • 1 = Query • 2 = Result • 3 = 1+2 • 4 = Authentication • 5 = 1+4 • 6 = 2+4 • 7 = alles • 8–15 = noch ausführlicher |
Beschreibung
LDAPDebug aktiviert ein binär abgestuftes Debug-Logging für den LDAP-Task des Domino-Servers. Je nach gesetztem Wert protokolliert Domino unterschiedliche Aspekte einer LDAP-Operation:- Query-Informationen (Bit 1): empfangener Suchfilter, Base-DN, Scope, Attribut-Liste
- Result-Informationen (Bit 2): zurückgelieferte Einträge, Anzahl Treffer, Result-Codes
- Authentication-Informationen (Bit 4): LDAP-Bind-Versuche, verwendete DN, Erfolg/Misserfolg
Die Werte werden binär kombiniert:
LDAPDebug=7 aktiviert Query + Result + Authentication zusammen, LDAPDebug=5 nur Query + Authentication usw. Werte zwischen 8 und 15 liefern noch detailreichere Informationen (interne Schema-Lookups, Referral-Verfolgung).Der Parameter ist das Standard-Werkzeug zur Diagnose, wenn LDAP-Suchen unerwartete Ergebnisse liefern, externe LDAP-Clients sich nicht binden können, Directory-Assistance-Lookups fehlschlagen oder LDAP-basierte Authentifizierung in einer Anwendung nicht funktioniert.
Beispiel-Konfiguration
LDAPDebug=7 Debug_Outfile=c:\debug\ldap.txt
Laufzeit-Aktivierung ohne Server-Neustart — wirkt nach
restart task ldap:set config LDAPDebug=7 restart task ldap
Nach Abschluss der Analyse wieder deaktivieren:
set config LDAPDebug=0 restart task ldap
Hinweise & Stolperfallen
- Wirkt nur für den LDAP-Task, nicht für LDAP-Suchen, die Domino intern über Directory Assistance / NAB-Lookups durchführt.
- Für persistente Ausgabe immer
Debug_Outfile=...setzen — sonst landet die Ausgabe nur flüchtig in der Konsole bzw. im Konsolen-Log.
- Änderungen werden üblicherweise erst nach
restart task ldapaktiv (nicht nach kurzer Wartezeit wie bei vielen anderen LDAP-Konfigurationswerten).
- Logvolumen kann bei busy LDAP-Servern schnell sehr groß werden — Logrotation/
CONSOLE_LOG_MAX_KBYTESeinplanen, nicht dauerhaft aktiv lassen.
- Ergänzt sich gut mit
WEBAUTH_VERBOSE_TRACE(Web-Auth-Sicht) undLog_Authentication(NRPC-Auth-Sicht).
- Sicherheitshinweis: bei aktivierter Authentication-Tracing-Stufe (Bit 4) erscheinen Bind-DNs im Logfile — vor Auslieferung an den Support prüfen.
Quellen (HCL Product Documentation)
- HCL Domino C API – „LDAP DEBUG API" (opensource.hcltechsw.com): opensource.hcltechsw.com/domino-c-api-docs/reference/Symb/LDAP_DEBUG_API/
- HCL Domino 11.0.1 – „Customizing the LDAP service configuration": help.hcl-software.com/domino/11.0.1/admin/conf_customizingtheldapserviceconfiguration_c.html
- HCL Domino 11.0.1 – „LDAP activity logging": help.hcl-software.com/domino/11.0.1/admin/admn_ldapactivitylogging_r.html
- HCL Customer Support – KB0033475 „Troubleshooting and debugging the Directory Assistance wizard": support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0033475