兄弟，我维护老Java项目的时候也踩过AD LDAP错误码49的大坑！结合你说的「管理员账号正常、测试账号不行，ldp.exe能通」的情况，给你梳理几个最实际的排查方向，都是我实际踩过的坑：

先搞懂Error 49的本质：要看隐藏的子码！ #

别光盯着49这个大类错误，Java的LDAP异常里藏着更关键的子码！你在catch块里打印e.getExplanation()，会看到类似这样的内容：

80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580

这里data后面的数字就是核心：比如52e是用户名/密码不匹配，532是密码过期，533是账号禁用，775是账号锁定——先把这个子码抠出来，直接缩小排查范围！

针对你场景的具体排查点 #

• 测试账号的AD状态排查
  新创建的AD账号默认会勾上「用户下次登录时必须更改密码」，哪怕你在ldp.exe里输对密码，AD会强制要求改密，但Java的LDAP绑定不会弹出改密窗口，直接返回49！
  你去AD用户和计算机里找到测试账号，右键「属性」→「账户」：

  • 取消「用户下次登录时须更改密码」的勾选
  • 同时检查「账户已禁用」「账户已锁定」有没有被意外勾上（管理员账号一般不受普通锁定策略影响）

• Java 8的加密协议适配问题
  很多企业AD现在要求TLS 1.2以上，但Java 8默认可能没启用TLS 1.2，或者禁用了旧协议导致不兼容——管理员账号可能因为权限特殊绕过了这个限制，普通账号不行。你可以在代码里强制指定TLS版本试试：

  // 在初始化LDAP上下文之前添加这两行
  System.setProperty("jdk.tls.client.protocols", "TLSv1.2");
  // 若有证书问题，指定信任库路径，用JRE自带的cacerts也可以
  System.setProperty("javax.net.ssl.trustStore", "你的JRE路径/jre/lib/security/cacerts");
  

  另外检查Java 8安装目录下的jre/lib/security/java.security文件，看看jdk.tls.disabledAlgorithms里有没有禁用TLSv1.2，有的话注释掉那行。

• 绑定格式的细节验证
  你说用了UPN和DN格式，再仔细核对一遍：

  • UPN格式：确保是AD用户属性里「账户」标签下的「用户登录名」（比如testuser@company.com，不是短域名testuser@company）
  • DN格式：确认OU路径完全正确，比如CN=测试用户,OU=测试部门,DC=company,DC=com，可以用ldp.exe的「查看→树」功能复制准确的DN，别手动拼写！

• AD域控制器的安全日志查真相
  这是最直接的方法！去域控制器的「事件查看器」→「Windows日志」→「安全」，找事件ID为4625的「登录失败」事件，里面会有详细的失败原因：比如「密码过期」「账户锁定」「用户未被授权登录此计算机」——对比管理员账号成功登录的4624事件，差异一眼就能看出来！

• 用最简测试代码排除项目逻辑问题
  你可以先把项目里的LDAP代码替换成这个最简测试版，排除项目其他配置的干扰：

  import javax.naming.Context;
  import javax.naming.NamingException;
  import javax.naming.ldap.InitialLdapContext;
  import javax.naming.ldap.LdapContext;
  import java.util.Hashtable;
  
  public class ADTest {
      public static void main(String[] args) {
          Hashtable<String, String> env = new Hashtable<>();
          env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
          env.put(Context.PROVIDER_URL, "ldap://你的DC地址:389"); // 用SSL的话是636端口
          env.put(Context.SECURITY_AUTHENTICATION, "simple");
          env.put(Context.SECURITY_PRINCIPAL, "testuser@company.com"); // 换成你的UPN或DN
          env.put(Context.SECURITY_CREDENTIALS, "你的测试密码");
  
          try {
              LdapContext ctx = new InitialLdapContext(env, null);
              System.out.println("绑定成功！");
              ctx.close();
          } catch (NamingException e) {
              e.printStackTrace();
              System.out.println("错误详情：" + e.getExplanation());
          }
      }
  }
  

  运行这个代码，看返回的子码是什么，再对应排查。

先按这些步骤来，尤其是先抓异常的子码和查AD的安全日志，这两个方法基本能定位90%的问题！有新的细节或者子码结果了，随时补充上来，我再帮你分析～