可以在此处找到Microsoft多林要求的完整详细信息 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1323391 听起来您具有正确的信任设置，但请确保它们实际上是林信任，而不是旧的NT4 "外部信任"。 另外，请确保您以"外部域\ groupsamaccountname"格式添加组。

组映射涉及在CMC>身份验证> Windows AD>中使用DNS通过本地OS API调用发送查询的帐户设置。 如果找不到任何内容，则这些API调用通常会失败

要获取有关失败的详细信息，最简单的方法是使用CMS跟踪KBA https://apps.support.sap.com/sap/support/knowledge/preview/zh/2543957 可以提供帮助。 在CMS日志中，将有一个失败的查询（通常是无法找到的域），然后通常取决于修复DNS

直到用户尝试登录 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1245178 ，但在解决了组映射问题之后，您可能需要查看一下。

-Tim

感谢您的回复Tim。 我启用了cms跟踪，这是错误消息：

GetDomainController（）-无法为域" 2nddomain"定位DC或域不存在

BindIADsToLDAPFromSid（）-获取sid的DC时出错

InitFromNT（）-无法绑定" 2ndomain \ groupname"

GetfFromNT（）-无法初始化帐户

SecWinAD错误：CAccountEntity：InitFromNTName（）中发生错误

谢谢

Liezl

在此KBA中 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1886178 有一个可以直接运行Mijcrosoft API的工具，该工具会返回失败的域错误， 正在接收。 您必须完全按照在" 2nddomain"日志中提交的名称来提交名称，而不是以FQDN或其他任何形式提交。 当我们查询时，日志中的这个值是由Microsoft提供给我们的，KBA中列出了它不起作用的一些原因，最简单的解决方法之一是使用来自该域的用户登录到BI服务器。 如果这（暂时）解决了映射问题，则您很可能需要获得Microsoft支持。 我已经遇到过几次这个问题，并且总是归结为DNS问题，通常是因为客户使用的是第三方非Microsoft DNS。

-蒂姆