Bekannte Probleme und Einschränkungen von Directory Server

In diesem Abschnitt werden bekannte Probleme und Einschränkungen zum Zeitpunkt der Freigabe beschrieben.

Einschränkungen von Directory Server

Ändern Sie Dateiberechtigungen nicht manuell.

Änderungen, die an Dateiberechtigungen für installierte Directory Server Enterprise Edition-Produktdateien vorgenommen werden, können in einigen Fällen dazu führen, dass die Software nicht vorschriftsmäßig funktioniert. Ändern Sie Dateiberechtigungen nur, wenn Sie damit Anweisungen in der Produktdokumentation bzw. Anleitungen des Sun-Supports befolgen.

Diese Einschränkung lässt sich umgehen, wenn Sie als Benutzer mit entsprechenden Benutzer- und Gruppenberechtigungen Produkte installieren und Serverinstanzen erstellen.

Replizieren Sie das cn=changelog-Suffix nicht.

Obwohl Sie niemand daran hindert, die Replikation für das Suffix cn=changelog einzurichten, kann dies die Replikation behindern. Replizieren Sie das cn=changelog-Suffix nicht. Das cn=changelog-Suffix wird vom Plug-In des Retro-Änderungsprotokolls erstellt.

Der Datenbank-Cache kann nach einem Failover auf Sun Cluster veraltet sein.

Der Directory Server unterstützt Sun Cluster 3.2. Wird der Directory Server auf Sun Cluster ausgeführt und nsslapd-db-home-directory so gesetzt, dass ein nicht gemeinsam genutztes Verzeichnis verwendet wird, nutzen mehrere Instanzen Datenbank-Cachedateien gemeinsam. Nach einem Failover verwendet die Directory Server-Instanz auf dem neuen Knoten die möglicherweise veralteten Datenbank-Cachedateien.

Um diese Einschränkung zu umgehen, verwenden Sie entweder ein Verzeichnis für nsslapd-db-home-directory, das freigegeben ist, oder entfernen Sie beim Starten von Directory Server systematisch die Dateien im nsslapd-db-Stammverzeichnis.

Die falsche SASL-Bibliothek wird geladen, wenn LD_LIBRARY_PATH /usr/lib enthält.

Wenn LD_LIBRARY_PATH /usr/lib enthält, wird die falsche SASL-Bibliothek verwendet, was zum Fehlschlagen des dsadm-Befehls nach der Installation führt.

Verwenden Sie die LDAP-Ersetzungsoperation, um die cn=config-Attribute zu ändern.

Eine LDAP-Änderungsoperation in cn=config kann lediglich die untergeordnete Ersetzungsoperation verwenden. Jeglicher Versuch, ein Attribut hinzuzufügen oder zu löschen, wird mit der Fehlermeldung DSA kann nicht ausgeführt werden, Fehler 53, verworfen. Obwohl Directory Server 5 das Hinzufügen oder Löschen eines Attributs oder Attributwerts akzeptierte, wurde das Update ohne Wertevalidierung auf die Datei dse.ldif angewendet. Der interne DSA-Status wurde so lange nicht aktualisiert, bis DSA angehalten und gestartet wurde.

---

Hinweis –

Die Konfigurationsschnittstelle cn=config ist veraltet. Verwenden Sie, wenn möglich, stattdessen den Befehl dsconf.

---

Um diese Einschränkung zu umgehen, kann die untergeordnete LDAP-Änderungs- und Ersetzungsoperation eine untergeordnete Hinzufügen- oder Löschoperation ersetzen. Es gehen keine Funktionen verloren. Ganz im Gegenteil ist der Status der DSA-Konfiguration nach der Änderung besser vorhersehbar.

Auf Windows-Systemen ermöglicht Directory Server Start TLS nicht standardmäßig.

Dieses Problem betrifft lediglich die Serverinstanzen auf Windows-Systemen. Dieses Problem ist auf die Leistung auf Windows-Systemen zurückzuführen, wenn Start TLS verwendet wird.

Um dieses Problem zu umgehen, sollten Sie die Option -P mit dem Befehl dsconf verwenden, um mithilfe des SSL-Ports direkt eine Verbindung herzustellen. Wenn Ihre Netzwerkverbindung bereits sicher ist, sollten Sie die Option -e zusammen mit dem Befehl dsconf verwenden. Mit dieser Option können Sie eine Verbindung mit dem Standardport herstellen, ohne eine sichere Verbindung anzufordern.

Replikationsaktualisierungsvektoren können auf nicht mehr vorhandene Server verweisen.

Nachdem Sie eine replizierte Directory Server-Instanz aus einer Replikationstopologie entfernt haben, können die Replikationsaktualisierungsvektoren weiterhin Verweise auf die Instanz enthalten. Folglich können Sie auf Verweise auf Instanzen treffen, die nicht mehr vorhanden sind.

Der Common Agent Container wird zur Startzeit nicht hochgefahren.

Um dieses Problem zu umgehen, verwenden Sie bei der Installation von nativen Paketen den Befehl cacaoadm enable als root.

Um dieses Problem unter Windows zu umgehen, wählen Sie in den Eigenschaften des Common Agent Container-Dienstes die Option zum Anmelden, geben das Passwort des Benutzers ein, der den Dienst ausführt, und wählen "Übernehmen". Wenn Sie diese Einstellung nicht bereits vorgenommen haben, werden Sie in einer Nachricht darüber informiert, dass das Konto user name mit der Berechtigung zum Anmelden als Dienst ausgestattet wurde.

max-thread-per-connection-count ist auf Windows-Systemen nicht nützlich.

Die Directory Server-Konfigurationseigenschaft max-thread-per-connection-count gilt für Windows-Systeme nicht.

Ein Microsoft Windows-Fehler zeigt den Dienststarttyp als deaktiviert an.

Ein Microsoft Windows 2000 Standard Edition Bug führt dazu, dass der Directory Server-Dienst als deaktiviert erscheint, nachdem der Dienst aus Microsoft Management Console gelöscht wurde.

Konsole lässt keine Administratoranmeldung unter Windows XP zu

Konsole lässt keine Administratoranmeldung für den Server zu, der unter Windows XP ausgeführt wird.

Sie können das Problem umgehen, indem Sie das Gastkonto deaktivieren und den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest auf 0 setzen.

Ändern von Indexkonfigurationen on-the-fly

Wenn Sie eine Indexkonfiguration für ein Attribut ändern, werden alle Suchvorgänge, bei denen dieses Attribut als Filter verwendet wird, wie nicht indizierte Suchvorgänge behandelt. Damit Suchvorgänge mit diesem Attribut korrekt verarbeitet werden, verwenden Sie den Befehl dsadm reindex oder dsconf reindex. So werden vorhandene Indizes bei jeder Änderung der Indexkonfiguration für ein Attribut neu generiert. Nähere Informationen finden Sie in Kapitel 13, Directory Server Indexing in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide .

Bekannte Directory Server-Probleme in 6.3

In diesem Abschnitt werden die zum Veröffentlichungszeitpunkt von Directory Server 6.3 bekannten Probleme aufgelistet.

6583131

Das Directory Service Control Center wird nach dem Anwenden der 6.3-Patch-Version nicht richtig korrigiert.

Wenden Sie für ein lokalisiertes Directory Service Control Center den Directory Server Enterprise Edition 6.3-Patch vor dem lokalisierten Directory Server Enterprise Edition 6.3-Patch an, und führen Sie anschließend die folgenden Befehle in der angegebenen Reihenfolge aus.

# dsccsetup console-unreg

# dsccsetup console-reg

Die Befehle dsccsetup console-unreg und console reg müssen nicht ausgeführt werden, wenn Sie den lokalisierten Directory Server Enterprise Edition 6.3-Patch vor dem Directory Server Enterprise Edition 6.3-Patch anwenden.

In Zip-basierten Installationen wird der lokalisierte Directory Server Enterprise Edition 6.3-Patch nicht automatisch auf das Directory Service Control Center angewendet. Um dieses Problem zu umgehen, heben Sie die Bereitstellung der WAR-Datei auf, und stellen Sie sie anschließend erneut bereit.

6630897

Die Ausgabe des Befehls dsadm show-*-log l enthält nicht die richtigen Zeilen. Sie enthält möglicherweise die letzten Zeilen eines zuvor rotierten Protokolls.

6630924

Die Ausgabe des Befehls dsadm show-*-log ist nicht korrekt, wenn einige Zeilen des Protokolls mehr als 1024 Zeichen enthalten.

2155981

Manche ACI-Suchen können die Werte beschränkter Attribute offenlegen. Dadurch können Benutzer eventuell beschränkte Attribute durch logische Schlussfolgerungen erraten.

2156184

Wird bei der Sicherung einer laufenden Directory Server-Instanz mit dem Befehl db2ldif die db2ldif-Operation vorzeitig durch "Strg-C" beendet, hebt die Operation unter Umständen die Datenbanksperren nicht auf. Wird danach ein MOD gegen eine gesperrte Seite versucht, wird diese unendlich blockiert, und der Server kann keine weiteren MODs verarbeiten.

6637242

Nach dem Bereitstellen der WAR-Datei funktioniert die Schaltfläche "Topologie anzeigen" manchmal nicht. Gelegentlich tritt ein Java-Ausnahmefehler auf, der auf org.apache.jsp.jsp.ReplicationTopology_jsp._jspService basiert.

6640755

Unter Windows zeigt der Befehl dsadm start im koreanischen Gebietsschema nicht das Fehlerprotokoll nsslapd an, wenn ns-slapd nicht gestartet werden kann.

2157291

Wenn Sie bei der Konfiguration der Digest-Authentifizierung für Sun Web Proxy 4.0 den Anweisungen unter "Einrichten des Sun Java System Directory Server für die Verwendung des DES-Algorithmus" folgen, kann die Replikation bei der ersten Änderung des Attributs iplanetReversiblePassword fehlschlagen.

6648240

Das Ändern oder Löschen eines Attributs in der Tabelle "Zusätzliche Indizes" auf der Registerkarte "Indizes" im Directory Service Control Center kann dazu führen, dass veraltete Informationen angezeigt werden, bis der Browser aktualisiert wird.

6650105

Wenn Sie in der Windows 2000-Zip-Verteilung mit Tomcat 5.5 Application Server und Internet Explorer 6 im "Schritt 3: Zugriffsrechte zuweisen" des Directory Service Control Center-Assistenten "Neue DS Zugriffskontrollanweisung" im Listenfeld "Angebenen Benutzern Rechte zuweisen:" auf die Schaltfläche "Löschen" klicken, kann ein Ausnahmefehler auftreten, der folgendermaßen lautet:

The following error has occurred:  
Handler method "handleAssignACIToDeleteButtonRequest" not implemented,
or has wrong method signature  
Show Details 
Hide Details 
com.iplanet.jato.command.CommandException: Handler method 
"handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature
     com.iplanet.jato.view.command.DefaultRequestHandlingCommand.execute
(DefaultRequestHandlingCommand.java:167)
     com.iplanet.jato.view.RequestHandlingViewBase.handleRequest
(RequestHandlingViewBase.java:308)
     com.iplanet.jato.view.ViewBeanBase.dispatchInvocation(ViewBeanBase.java:802)

6660462

Vor dem Aktualisieren von Directory Server Enterprise Edition 6.2 auf Directory Server Enterprise Edition 6.3 muss ntservice für jede Instanz von Directory Server oder Directory Proxy Server manuell gestoppt werden, aber der Befehl dsee_deploy kann laufende Instanzen von Directory Server oder Directory Proxy Server auf der Microsoft Windows 2000-Plattform nicht identifizieren.

In der Zip-Verteilung von Microsoft Windows 2000 kann der Befehl dsee_deploy beim Aktualisieren fehlschlagen. Die Fehlermeldung lautet sinngemäß wie folgt:

Fehler: Das alte Verzeichnis C:/local/upg6263/./dsee6/lib/bin/dsee_ntservice.exe kann nicht gelöscht werden.

Dies deutet darauf hin, dass eine Instanz von Directory Server oder Directory Proxy Server ausgeführt wird. Um die Instanzen zu stoppen, klicken Sie in Microsoft Windows 2000 auf Start > Einstellungen > Systemsteuerung. Wählen Sie "Verwaltung" und anschließend "Dienste" aus. Klicken Sie mit der rechten Maustaste auf jede Directory Server- oder Directory Proxy Server- Instanz, die in der rechten Spalte angezeigt wird, und wählen Sie "Anhalten" aus.

6663685

Im Directory Service Control Center kann der Vorgang "Suffix-Konfiguration kopieren" zu fehlerhaften Popup-Fenstern führen.

6559825

Wenn Sie die Port-Nummer mit dem DSCC auf einem Server mit replizierten Suffixen ändern, treten beim Einrichten der Replikationsvereinbarung zwischen Servern Probleme auf.

6634397

Für Server, die im DSCC so registriert sind, dass sie alle Schnittstellen überwachen (0.0.0.0), führt der Versuch, dsconf zum Ändern der Überwachungsadresse der Server zu verwenden, zu DSCC-Fehlern.

Um in Directory Server Enterprise Edition 6.3 nur SSL-Ports und Secure-Listen-Adressen zu überwachen, umgehen Sie das Problem folgendermaßen:

1. Heben Sie die Registrierung des Servers im DSCC auf:

   dsccreg remove-server /local/myserver

2. Deaktivieren Sie den LDAP-Port:

   dsconf set-server-prop ldap-port:disabled

3. Richten Sie eine Secure-Listen-Adresse ein:

   dsconf set-server-prop secure-listen-address:IPaddress

   dsadm restart /local/myserver

4. Registrieren Sie den Server mit dem DSCC. Geben Sie im Assistenten für die Serverregistrierung die IP-Adresse des Servers an. Dieser Vorgang kann nicht rückgängig gemacht werden.

6654030

Während der Replikation eines Masters, auf dem Directory Server 5.1 SP4 ausgeführt wird, auf einen Konsumenten, auf dem Directory Server 6.x ausgeführt wird, wird nsds50ruv beim Konsumenten nicht richtig aktualisiert. Die Folge ist eine beschädigte Replikation mit den entsprechenden Fehlermeldungen im Zugriffsprotokoll.

6653574

Die Replikation von einem Master, auf dem Directory Server 6.3 ausgeführt wird, zu einem Master, auf dem Directory Server 5.1 ausgeführt wird, funktioniert nicht.

6645742/2158692

Versucht ein bekannter Benutzer während der Replikation von Directory Server 5.2 zu Directory Server 6.3 sich mit einem falschen Passwort anzumelden, schlägt die Replikation fehl.

Die Fehlermeldungen beim Directory Server 5.2 lauten sinngemäß wie folgt:

[20. Dez. 2007:11:49:55 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - ruv_init_from_bervals: RUV-Element hat fehlerhafte Form ({Replikat 1})

[20. Dez. 2007:11:49:55 -0800] - ERROR<8221> - Inkrementelles Protokoll - conn=-1 op=-1 msgId=-1 - Fehlgeschlagen - Administratoraktion erforderlich [280R:3891]

Die Fehlermeldungen beim Directory Server 6.x lauten sinngemäß wie folgt:

[20. Dez. 2007:11:38:55 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - Replikat (dc=bcbsm,dc=com) wurde vom Gesamtprotokoll als vollständiges Replikat initialisiert

[20. Dez. 2007:11:45:02 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - csnplCommit: csn 476ac63e000000010000 nicht gefunden

[20. Dez. 2007:11:45:02 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - ruv_update_ruv: csn 476ac63e000000010000 kann nicht übergeben werden

[20. Dez. 2007:11:45:02 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - replica_update_ruv: RUV für Replikat dc=bcbsm,dc=com, csn = 476ac63 e000000010000 kann nicht aktualisiert werden

[20. Dez. 2007:11:45:02 -0800] - FEHLER<8221> - Inkrementelles Protokoll - conn=-1 op=-1 msgId=-1 - Fehlgeschlagen - Administratoraktion erforderlich [280R:389]

6541040

Wird eine Passwortrichtlinie mit dem Directory Service Control Center geändert, können nicht geänderte Attribute unwissentlich zurückgesetzt werden.

Wird das Directory Service Control Center zum Verwalten der Standard-Passwortrichtlinie verwendet, treten keine Fehler auf. Wenn das Directory Service Control Center jedoch zum Verwalten spezieller Passwortrichtlinien verwendet wird, können ungeänderte Attribute zurückgesetzt werden.

6643813

In einer Topologie mit 150 Mastern kommt es zu einem ungültigen RUV; gelegentlich fehlt die Datei ldap://host:port. Die Replikation kann nicht mit dem Directory Service Control Center überwacht werden. Alle Master werden als "Nicht initialisiert" gemeldet.

6650749/2158694

Wird CLEANRUV in einer Directory Server 6.3-Topologie angewendet, in der Directory Server 5.2-Datenbanken zum Initialisieren der Directory Server 6.3-Master verwendet wurden, schließen die Directory Server 6.3-Server die Änderungsprotokolle nicht richtig, und beim Neustart wird eine Datenbankwiederherstellung erzwungen.

6643692

Auf nativen Installation von Microsoft Windows wird das Directory Service Control Center bei einem Upgrade von Directory Server Enterprise Edition 6.0 auf 6.3 nicht aktualisiert.

Um das Problem zu umgehen, wenden Sie Patch 125311-05 an, falls noch nicht geschehen. Falls Sie Patch 125311-05 bereits angewendet haben, entfernen Sie ihn und wenden anschließend Patch 125311-06 an.

Falls Sie Patch 125311-06 über Patch 125311-05 angewendet haben, entfernen Sie beide Patches und wenden anschließend nur Patch 125311-06 an.

6595805

Für andere Kodierungen als UTF-8 und wenn der Installationspfad andere Zeichen als ASCII enthält, kann das Tool dsee_deploy das Java Enterprise System Monitoring Framework im Common Agent Container nicht einrichten.

6593775

Nicht alle Suffixe werden auf der Seite mit den verwendeten Suffixen des DSCC angezeigt.

Wenn Sie auf der Registerkarte "Suffixverwendung" in der Tabelle "Zugriffsdatenbank im Cache indizieren" ein Suffix auswählen und auf "Aktualisieren" klicken, wird nur das ausgewählte angezeigt. Hier sollten auch andere Suffixe angezeigt werden.

6501320

Wird ein Index eines benutzerdefinierten Schemas erstellt, wird die Änderung von all-ids-threshold auf Suffixebene vom DSCC nicht vollständig durchgesetzt.

6579286

Das Tool ds-repair wird in Zip-Installationen auf Microsoft Windows nicht erfolgreich ausgeführt. Die vom Microsoft Windows-System ausgegebenen Fehlermeldungen lauten sinngemäß wie folgt:

dsrepair.exe - Komponente nicht gefunden. Diese Anwendung kann nicht gestartet werden, da NSLDAP32(Versionsnummer).dll nicht gefunden wurde. Das Problem kann eventuell durch eine Neuinstallation der Anwendung behoben werden.

6579820

In Zip-Installationen auf Microsoft Windows findet die Datei replcheck.exe die Datei dsrepair.exe nicht. replcheck fix schlägt daher fehl. Die vom Microsoft Windows-System ausgegebenen Fehlermeldungen lauten sinngemäß wie folgt:

dsrepair-Tool nicht gefunden...Installieren Sie es vor dem Starten von replck

6504549

Java Enterprise System Monitoring Framework kann Instanzen von Directory Server nicht finden, wenn der Vorgang ns-slapd remote mit rsh gestartet wurde.

6536770

Das Directory Service Control Center kann sehr lange ACIs nicht anzeigen. Aufgrund dieses Problems zeigt ihr Browser sinngemäß folgende Fehlermeldungen an:

• Ihr Browser hat eine Nachricht gesendet, die von diesem Server nicht verstanden werden kann.

• Die gewünschte URL konnte nicht abgerufen werden. Beim Versuch die URL abzurufen: [keine URL] Der folgende Fehler ist aufgetreten: Die Anfrage oder Antwort ist zu groß. Wenn Sie eine POST- oder PUT-Anfrage gesendet haben, ist der Inhalt der Anfrage (das, was Sie hochladen möchten) zu groß. Wenn Sie eine GET-Anfrage gesendet haben, ist der Inhalt der Antwort (das, was Sie herunterladen möchten) zu groß. Die Beschränkungen wurden vom Internet Service Provider eingerichtet, der diesen Cache betreibt. Bitte wenden Sie sich an ihn, wenn Sie der Meinung sind, dass dies ein Fehler ist.

2151022

Zertifikate, die lokalisierte Namen enthalten, können nicht vollständig gelöscht werden. Sie werden auch nicht ordnungsgemäß aufgelistet.

2129151

Der Directory Server reagiert nicht, wenn der Befehl stop-slapd ausgeführt wird.

6461602

dsrepair fix-entry funktioniert nicht, wenn die Quelle ein Tombstone und das Ziel ein Eintrag ist (DEL wird nicht repliziert).

Workaround: Löschen Sie den Eintrag explizit mit dem Befehl dsrepair delete-entry. Anschließend fügen Sie mit dem Befehl dsrepair add-entry den Tombstone hinzu.

6594285

Das Directory Service Control Center verfügt nicht über RBAC (rollenbasierte Zugriffskontrolle).

2113177

Directory Server stürzte ab, wenn der Server angehalten wird, während ein Export, eine Sicherung, eine Wiederherstellung oder eine Indexerstellung durchgeführt wird.

2133169

Wenn Einträge aus LDIF importiert werden, generiert Directory Server keine createTimeStamp- und modifyTimeStamp-Attribute.

Der LDIF-Import ist geschwindigkeitsoptimiert. Diese Attribute werden vom Importprozess nicht generiert. Um diese Einschränkung zu umgehen, fügen Sie die Einträge hinzu anstatt sie zu importieren. Verarbeiten Sie LDIF andernfalls vorab, um die Attribute vor dem Import hinzuzufügen.

4979319

Einige Directory Server-Fehlermeldungen verweisen auf das Database Errors Guide (Handbuch mit Datenbankfehlern), das nicht existiert. Wenn Ihnen die Bedeutung einer wichtigen Fehlermeldung nicht klar ist und diese Fehlermeldung nicht dokumentiert ist, wenden Sie sich an den Sun-Support.

6488284

Auf der HP-UX-Plattform können Directory Server Enterprise Edition-Handbuchseiten für die folgenden Abschnitte nicht über die Befehlszeile aufgerufen werden:

• man5dpconf.

• man5dsat.

• man5dsconf.

• man5dsoc.

• man5dssd.

Um dieses Problem zu umgehen, greifen Sie über Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference auf die Handbuchseiten zu. Sie können hier alle Directory Server Enterprise Edition-Handbuchseiten als PDF herunterladen.

6358392

Beim Entfernen von Software werden vorhandene Serverinstanzen mit dem Befehl dsee_deploy uninstall weder gestoppt noch gelöscht.

Um diese Einschränkung zu umgehen, folgen Sie den Anweisungen im Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide.

6401484

Mit dem Befehl dsconf accord-repl-agmt können die Authentifizierungseigenschaften der Replikationsvereinbarung nicht ausgerichtet werden, wenn die SSL-Client-Authentifizierung am Ziel-Suffix verwendet wird.

Um dieses Problem zu umgehen, speichern Sie das Lieferantenzertifikat in der Konfiguration des Verbrauchers anhand der folgenden Schritte. Der abgebildete Beispielbefehl basiert auf zwei Instanzen auf demselben Host.

1. Exportieren Sie das Zertifikat in eine Datei.

   Im folgenden Beispiel wird dargestellt, wie der Export für Server in /local/supplier und /local/consumer durchgeführt wird.

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. Tauschen Sie die Client- und Lieferantenzertifikate aus.

   Im folgenden Beispiel wird dargestellt, wie der Austausch für Server in /local/supplier und /local/consumer stattfindet.

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. Fügen Sie den SSL-Clienteintrag auf dem Verbraucher, einschließlich supplierCert-Zertifikat in einem usercertificate;binary-Attribut, mit der entsprechenden subjectDN hinzu.

4. Fügen Sie den Replikations-Manager-DN auf dem Konsumenten ein.

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. Aktualisieren Sie die Regeln in /local/consumer/alias/certmap.conf.

6. Starten Sie beide Server mit dem Befehl dsadm start neu.

6412131

Die Zertifikatsnamen mit Multibytezeichen werden in der Ausgabe des Befehls dsadm show-cert instance-path valid-multibyte-cert-name als Punkte angezeigt.

6410741

Directory Service Control Center sortiert Werte als Zeichenfolgen. Folglich werden Zahlen in Directory Service Control Center so sortiert, als ob es sich um Zeichenfolgen handelt.

Bei der aufsteigenden Sortierung von 0, 20 und 100 ergibt sich die Liste 0, 100, 20. Bei der absteigenden Sortierung von 0, 20 und 100 ergibt sich die Liste 20, 100, 0.

6539650

Die Directory Server-Instanz mit Multibytezeichen im Pfad wird möglicherweise in DSCC nicht erstellt, nicht gestartet oder führt andere normale Aufgaben nicht durch.

Einige dieser Probleme lassen sich lösen, wenn Sie den Zeichensatz verwenden, der zur Erstellung der Instanz verwendet wurde. Den Zeichensatz können Sie mit folgenden Befehlen einstellen:

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

Verwenden Sie ausschließlich die ASCII-Zeichen im Pfad der Instanz, um diese Probleme zu vermeiden.

6416407

Directory Server analysiert ACI-Ziel-DNs, die doppelte Anführungszeichen oder ein einfaches Ausweich-Komma enthalten, nicht ordnungsgemäß. Folgende Beispieländerungen führen zu Syntaxfehlern:

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

Es gibt jedoch auch Beispiele mit mehreren Ausweich-Kommas, die ordnungsgemäß analysiert wurden.

6428448

Mit dem dpconf-Befehl wird die Eingabeaufforderung Enter "cn=Directory Manager" password: zweimal angezeigt, wenn sie im interaktiven Modus verwendet wird.

6446318

Unter Windows schlägt die SASL-Authentifizierung aus den zwei folgenden Gründen fehl:

• SASL-Verschlüsselung wird verwendet.

  Um dieses von der SASL-Verschlüsselung verursachte Problem zu umgehen, stoppen Sie den Server, bearbeiten Sie dse.ldif, und stellen Sie für SASL Folgendes ein:

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• Die Installation wird unter Verwendung von nativen Paketen durchgeführt.

  Um dieses von der Installation über native Pakete verursachte Problem zu umgehen, stellen Sie SASL_PATH auf install-dir\share\lib ein.

6449828

Directory Service Control Center zeigt userCertificate-Binärwerte nicht richtig an.

6587801

Das Directory Service Control Center und der Befehl dsadm zeigen in Version 6.1 oder höher integrierte CA-Zertifikate von Directory Server-Instanzen nicht an, die mit dem Befehl dsadm in Version 6.0 erstellt wurden.

Problemumgehung:

Fügen Sie das 64-Bit-Modul mit der 64-Bit-Version von modutil hinzu:

$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb -dbdir /instance-path/alias -dbprefix slapd- -secmod.db

6468074

Der Konfigurationsattributname passwordRootdnMayBypassModsCheck gibt nicht eindeutig an, dass der Server es jetzt jedem Administrator erlaubt, die Passwortsyntaxprüfung zu umgehen, wenn das Passwort eines anderen Benutzers geändert wird.

6469154

Unter Windows werden die Ausgabe der Befehle dsadm und dpadm sowie Hilfemitteilungen in vereinfachtem und traditionellem Chinesisch nicht lokalisiert.

6469296

Im Directory Service Control Center kann zwar die Konfiguration eines vorhandenen Servers kopiert werden, nicht jedoch die Plug-In-Konfiguration.

6469688

Auf Windows-Systemen schlug der Befehl dsconf zum Importieren von LDIF mit Doppelbytezeichen im LDIF-Dateinamen fehl.

Um dieses Problem zu umgehen, müssen Sie den LDIF-Dateinamen so ändern, dass er keine Doppelbytezeichen enthält.

6478568

Der Befehl dsadm enable-service funktioniert mit Sun Cluster nicht ordnungsgemäß.

6480753

Es kam vor, dass der Befehl dsee_deploy hängt, wenn die Monitoring Framework-Komponenten im Common Agent Container registriert wird.

6482378

Vom unterstützten SSLCiphers-Attribut für Root-DSE werden NULL-Verschlüsselungen aufgelistet, die vom Server nicht unterstützt werden.

6483290

Sie können weder mit Directory Service Control Center noch mit dem Befehl dsconf konfigurieren, wie Directory Server ungültige Plug-In-Signaturen verarbeitet. Das Standardverhalten besteht darin, dass die Plug-In-Signaturen geprüft werden. Sie müssen aber nicht gültig sein. Directory Server protokolliert eine Warnmeldung für ungültige Signaturen.

Um das Serververhalten zu ändern, ändern Sie die Attribute ds-require-valid-plugin-signature und ds-verify-valid-plugin-signature in cn=config. Beide Attribute verwenden entweder on oder off.

6638990/6641357

Der Massenimport-Befehl ldapmodify kann vorhandene Daten beschädigen. Wird die Option -B suffix angegeben, werden alle vorhandenen Daten im Suffix gelöscht.

Die Angabe auf der Handbuchseite ldapmodify, dass Massenimporte mit dem Befehl ldapmodify vorhandene Einträge nicht löschen, ist daher falsch.

6485560

Directory Service Control Center lässt das Durchsuchen eines Suffixes nicht zu, das so konfiguriert ist, dass es einen Bezug auf ein anderes Suffix zurückgibt.

6488197

Nach der Installation und nac der Erstellung von Serverinstanzen auf Windows-Systemen ist gemäß den Dateiberechtigungen für die Installations- und Serverinstanz-Ordner der Zugriff für alle Benutzer möglich.

Dieses Problem lässt sich umgehen, indem die Berechtigungen für die Installations- und Serverinstanz-Ordner geändert werden.

6490653

Wenn der Bezugsmodus für Directory Server mit Directory Service Control Center über Internet Explorer 6 aktiviert wird, ist der Text im Fenster zur Bestätigung des Bezugsmodus abgeschnitten.

Um dieses Problem zu umgehen, verwenden Sie einen anderen Browser, beispielsweise den Mozilla-Webbrowser.

6491849

Nachdem ein Replikat aufgerüstet und Server auf neue Systeme übertragen wurden, müssen Replikationsvereinbarungen neu erstellt werden, damit neue Hostnamen verwendet werden können. Directory Service Control Center ermöglicht das Löschen der vorhandenen Replikationsvereinbarungen, das Erstellen neuer Vereinbarungen wird jedoch unterbunden.

6492894

Auf Red Hat-Systemen wird mit dem Befehl dsadm autostart nicht immer sichergestellt, dass die Serverinstanzen beim Booten gestartet werden.

6494997

Der Befehl dsconf fordert bei der DSML-Konfiguration nicht zum Vornehmen der entsprechenden dsSearchBaseDN-Einstellung auf.

6495004

Auf Windows-Systemen konnte Directory Server in einigen Fällen nicht gestartet werden, wenn der Basisname der Instanz ds lautet.

6497053

Wenn die Installation über die zip-Verteilung erfolgt, stellt der Befehl dsee_deploy keine Option zur Konfiguration von SNMP und Stream-Adapterports bereit.

Problemumgehung:

1. Aktivierung von Monitoring-Plugin unter Verwendung der Web-Konsole oder dpconf.

2. Unter Verwendung von cacaoadm set-param, ändern Sie snmp-adaptor-port, snmp-adaptor-trap-port und commandstream-adaptor-port.

6497894

Der Befehl dsconf help-properties funktioniert erst nach der Instanzenerstellung vorschriftsmäßig. Zudem sollte die korrekte Liste mit Werten für den dsml-client-auth-mode-Befehl client-cert-first | http-basic-only | client-cert-only lauten.

6500936

In der Nativ-Patch-Bereitstellung ist der Miniaturkalender, aus dem Datumsangaben für das Filtern von Zugriffsprotokollen ausgewählt werden, nicht ordnungsgemäß in traditionellem Chinesisch lokalisiert.

6503509

In einigen Fällen ist die Ausgabe der Befehle dsccmon, dsccreg, dsccsetup und dsccrepair nicht lokalisiert.

6503546

Durch eine Änderung des Gebietsschemas und Starten von DSCC wird die Popupfenster-Meldung nicht in der von Ihnen ausgewählten Sprache angezeigt.

6504180

Unter Solaris 10 schlägt die Passwortbestätigung für Instanzen mit Multibytezeichen im DN in den Gebietsschemata Englisch und Japanisch fehl.

6506019

Wenn auf HP-UX gdb von einem laufenden ns-slapd-Prozess getrennt wird, wird der Prozess abgebrochen und ein Speicherabbild erzeugt.

6507312

Auf HP-UX-Systemen kommt es bei Anwendungen mit NSPR-Bibliotheken zu Abstürzen und Core-Dumps, nachdem die Überprüfung mit gdb durchgeführt wurde. Dieses Problem tritt auf, wenn Sie gdb an eine derzeit ausgeführte Directory Server -Instanz anhängen und dann den Befehl gdb quit verwenden.

6520646

Durch Klicken auf "DSCC-Online-Hilfe durchsuchen" wird bei der Verwendung von Internet Explorer nicht die Online-Hilfe angezeigt.

6527999

Das API-Plugin von Directory Server umfasst die Funktionen slapi_value_init()(), slapi_value_init_string()() und slapi_value_init_berval()().

Diese Funktionen erfordern alle eine "done"-Funktion zur Freigabe interner Elemente. Allerdings fehlt bei der öffentlichen API eine slapi_value_done()()-Funktion.

6542857

Bei der Verwendung von Service Management Facility (SMF) in Solaris 10 zur Aktivierung einer Serverinstanz wird die Instanz möglicherweise nicht gestartet, wenn Sie Ihr System neu starten.

Um das Problem zu umgehen, können Sie, falls der Befehl dsadm enable service noch nie verwendet wurde, folgende mit + gekennzeichnete Zeilen zu /opt/SUNWdsee/ds6/install/tmpl_smf.manifest hinzufügen.

... restart_on="none" type="service"> <service_fmri value="svc:/network/initial:default"/> </dependency> + <dependency name="nameservice" grouping="require_all" \ + restart_on="none" type="service"> + <service_fmri value="svc:/milestone/name-services"/> + </dependency> <exec_method type="method" name="start" exec="%%%INSTALL_PATH%%%/bin/dsadm start --exec %{sunds/path}"...

Wurde der Befehl dsadm enable service zuvor bereits verwendet, umgehen Sie das Problem wie folgt:

1. Erstellen Sie eine Datei mit folgendem Inhalt:

   select ds addpg nameservice dependency setprop nameservice/grouping = astring: require_all setprop nameservice/restart_on = astring: none setprop nameservice/type = astring: service setprop nameservice/entities = fmri: "svc:/milestone/name-services"

2. Führen Sie den folgenden Befehl an der Datei aus:

   svccfg -f file

   Falls sich einige Instanzen im Wartungszustand befinden, führen Sie folgende Befehle aus:

   svcadm clear svc:-application-sun-ds:ds-{instancepath}

6547992

Unter HP-UX finden die Befehle dsadm und dpadm möglicherweise nicht die gemeinsam verwendete Bibliothek libicudata.sl.3.

Um das Problem zu umgehen, setzen Sie die Variable SHLIB_PATH.

env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm

6550543

Sie erhalten möglicherweise eine Fehlermeldung, wenn DSCC mit der Kombination aus Tomcat 5.5 und JDK 1.6 verwendet wird.

Verwenden Sie zur Umgehung des Problems stattdessen JDK 1.5.

6551672

Sun Java System Application Server im Paket mit Solaris 10 kann keine SASL-Client-Verbindung für authentifizierten Mechanismus erstellen und kommuniziert nicht mit Common Agent Container.

Ändern Sie zur Umgehung des Problems die vom Anwendungsserver verwendete JVM, indem Sie die Datei appserver-install-path/appserver/config/asenv.conf bearbeiten und den Eintrag AS_JAVA durch AS_JAVA="/usr/java" ersetzen. Starten Sie Ihre Anwendungsserverdomäne neu.

6551685

Durch dsadm autostart kann die native LDAP-Authentifizierung fehlschlagen, wenn Sie das System neu starten.

Um das Problem zu umgehen, kehren Sie die Reihenfolge der Reboot-Skripts um. Die Standardreihenfolge ist /etc/rc2.d/S71ldap.client und /etc/rc2.d/S72dsee_directory.

6557480

Wenn Sie unter Solaris 9 und Windows auf die Onlinehilfe über die mit Web Archive(WAR)-Datei konfigurierte Konsole zugreifen, wird eine Fehlermeldung ausgegeben.

6571672

Wenn die Unzip-Funktion im System nicht verfügbar ist, wird durch dsee_deploy kein Produkt installiert.

6658483

Im Directory Service Control Center ist die traditionell chinesische Übersetzung der Zeichenkette "Suffix mit Daten intialisieren... "in den Replikationseinstellungen missverständlich.

6644161

Wenn Sie unter koreanischem Gebietsschema im Bereich für verschlüsselte Attribute des Directory Service Control Center auf die Schaltfläche zum Entfernen von Attributen klicken, wird die folgende unvollständige Fehlermeldung angezeigt:

You have chosen to remove

Die Meldung sollte folgendermaßen lauten:

Sie möchten {0} aus der Liste der verschlüsselten Attribute entfernen. Damit die Datenbankdateien der Konfiguration entsprechen und korrekt funktionieren, müssen Sie das Suffix initialisieren. Möchten Sie fortfahren?