Bekannte Probleme und Einschränkungen von Identity Synchronization für Windows

In diesem Abschnitt werden bekannte Probleme und Einschränkungen zum Zeitpunkt der Freigabe beschrieben.

Einschränkungen von Identity Synchronization für Windows

In diesem Abschnitt werden die Produkteinschränkungen beschrieben. Den Einschränkungen ist nicht immer eine Änderungsanforderungsnummer zugewiesen.

Für die Installation von Identity Synchronization für Windows ist sun-sasl-2.19-4.i386.rpm erforderlich.

Bevor Sie Identity Synchronization für Windows unter Linux installieren, sollten Sie sicherstellen, dass das sun-sasl-2.19-4.i386.rpm-Paket auf Ihrem Rechner installiert ist. Andernfalls schlägt die Installation von Identity Synchronization für Windows fehl. Das SASL-Paket ist in den gemeinsam genutzten Komponenten von JES 5 und höher enthalten.

Ändern Sie die Dateiberechtigungen nicht manuell.

Änderungen der Dateiberechtigungen für installierte Directory Server Enterprise Edition-Produktdateien können in einigen Fällen verhindern, dass die Software ordnungsgemäß ausgeführt wird.

Um diese Einschränkung zu umgehen, installieren Sie die Produkte als Benutzer mit den entsprechenden Benutzer- und Gruppenberechtigungen.

Kein Failover für den Identity Synchronization für Windows-Kerndienst.

Wenn Sie das System verlieren, auf dem die Identity Synchronization für Windows-Kerndienste installiert sind, müssen Sie die Installation erneut ausführen. Es gibt keinen Failover für den Identity Synchronization für Windows-Kerndienst.

Verwenden Sie eine Sicherung von ou=services (Konfigurationszweig von Identity Synchronization für Windows-DIT) im LDIF-Format, und verwenden Sie diese Informationen bei der Installation von Identity Synchronization für Windows.

Änderung des Authentifizierungsverhaltens auf Microsoft Windows 2003 SP1

Bei Installation von Windows 2003 SP1 steht allen Benutzern standardmäßig eine Stunde zu, um auf ihre Konten mit den alten Passwörtern zuzugreifen.

Daher wird das Attribut dspswvalidate für die Synchronisierung bei Bedarf mit "true" festgelegt, wenn Benutzer ihre Passwörter auf Active Directory ändern, und das alte Passwort kann dazu verwendet werden, um sich bei Directory Server zu authentifizieren. Beim auf Directory Server synchronisierten Passwort handelt es sich dann um das vorherige alte Passwort, statt um das aktuelle Active Directory-Passwort.

Hinweise zum Deaktivieren dieser Funktionalität finden Sie in der Microsoft Windows-Supportdokumentation.

Entfernen Sie serverroot.conf, bevor Sie Administration Server entfernen.

Um Administration Server zu deinstallieren, entfernen Sie /etc/mps/admin/v5.2/shared/config/serverroot.conf, bevor Sie das Administration Server-Paket entfernen.

Geben Sie in CLASSPATH den Pfad der Admin.JAR-Dateien an.

CLASSPATH sollte den Speicherort der Admin.JAR-Dateien enthalten, damit bei der Neusynchronisierung kein noClassDefFound-Fehler angezeigt wird.

Datenwiederherstellung bei System- oder Anwendungsfehler

Nach einem Hardware- oder Anwendungsfehler müssen Sie die Daten in einigen der synchronisierten Verzeichnisquellen eventuell von der Sicherung wiederherstellen.

Nachdem Sie jedoch die Datenwiederherstellung durchgeführt haben, müssen Sie ein zusätzliches Verfahren ausführen, um sicherzustellen, dass die Synchronisierung normal durchgeführt werden kann.

Die Konnektoren verwalten in der Regel Informationen über die letzte Änderung, die an die Nachrichtenwarteschlange weitergeleitet wurde.

Diese Informationen, die als Konnektor-Status bezeichnet werden, werden verwendet, um die nachfolgende Änderung zu ermitteln, die der Konnektor aus der Verzeichnisquelle lesen muss. Wenn die Datenbank einer synchronisierten Verzeichnisquelle von einer Sicherung wiederhergestellt wird, ist der Konnektor-Status eventuell nicht mehr gültig.

Windows-basierte Konnektoren für Active Directory und Windows NT umfassen auch eine interne Datenbank. Die Datenbank ist eine Kopie der synchronisierten Datenquelle. Die Datenbank wird verwendet, um zu ermitteln, was sich in der verbundenen Datenquelle geändert hat. Die interne Datenbank ist nicht mehr gültig, sobald die verbundene Windows-Quelle von einer Sicherung wiederhergestellt wird.

Im Allgemeinen kann der Befehl idsync resync verwendet werden, um die wiederhergestellte Datenquelle erneut zu füllen.

Die Resynchronisierung kann nicht für die Synchronisierung von Passwörtern verwendet werden, mit einer Ausnahme. Die Option -i ALL_USERS kann verwendet werden, um Passwörter in Directory Server ungültig zu machen. Dies funktioniert, wenn die Resynchronisierungsdatenquelle Windows ist. Die SUL-Liste darf auch nur Active Directory-Systeme enthalten.

Die Verwendung des Befehls idsync resync kann jedoch nicht in jeder Situation eine akzeptable Lösung darstellen.

Bevor Sie einen der nachfolgend beschriebenen Schritte ausführen, müssen Sie sicherstellen, dass die Synchronisierung angehalten wird.

Bidirektionale Synchronisierung

Verwenden Sie den Befehl idsync resync mit den entsprechenden Modifizierereinstellungen entsprechend den Synchronisierungseinstellungen. Verwenden Sie die wiederhergestellte Verzeichnisquelle als Ziel der resync-Operation.

Unidirektionale Synchronisierung

Wenn es sich bei der wiederhergestellten Datenquelle um ein Synchronisierungsziel handelt, kann dasselbe Verfahren durchgeführt werden wie bei einer bidirektionalen Synchronisierung.

Wenn es sich bei der wiederhergestellten Datenquelle um eine Synchronisierungsquelle handelt, kann idsync resync weiterhin zum Füllen der wiederhergestellten Verzeichnisquelle verwendet werden. Sie brauchen die Einstellungen für den Synchronisierungsfluss in der Identity Synchronization for Windows-Konfiguration nicht zu ändern. Mit dem Befehl idsync resync können Sie den Synchronisierungsfluss unabhängig von den mit der Option -o Windows|Sun konfigurierten Flüssen festlegen.

Betrachten Sie folgendes Szenario als Beispiel.

Die bidirektionale Synchronisierung wird zwischen Directory Server und Active Directory eingerichtet.

• Die Datenbank eines Microsoft Active Directory-Servers muss von einer Sicherung wiederhergestellt werden.

• In Identity Synchronization für Windows ist diese Active Directory-Quelle für die SUL AD konfiguriert.

• Die bidirektionale Synchronisierung für Änderungs-, Erstellungs- und Löschvorgänge wird zwischen dieser Active Directory-Quelle und einer Sun Directory Server-Quelle eingerichtet.

So führen Sie die unidirektionale Synchronisierung aus

1. Halten Sie die Synchronisierung an.

   idsync stopsync -w - -q -

2. Synchronisieren Sie die Active Directory-Quelle erneut. Synchronisieren Sie auch die Änderungs-, Erstellungs- und Löschvorgänge erneut.

   idsync resync -c -x -o Sun -l AD -w - -q -

3. Starten Sie die Synchronisierung neu.

   idsync startsync -w - -q -

Verzeichnisquellen-spezifische Wiederherstellungsverfahren

Die folgenden Verfahren gelten für bestimmte Verzeichnisquellen.

Microsoft Active Directory

Wenn Active Directory von einer Sicherung wiederhergestellt werden kann, befolgen Sie die Verfahren in den Abschnitten, in denen entweder die bidirektionale oder die unidirektionale Synchronisierung beschrieben wird.

Unter Umständen müssen Sie jedoch nach einem schwerwiegenden Fehler einen anderen Domänencontroller verwenden. Befolgen Sie in diesem Fall diese Schritte, um die Konfiguration von Active Directory Connector zu aktualisieren.

So ändern Sie den Domänencontroller

1. Starten Sie die Identity Synchronization für Windows-Verwaltungskonsole.

2. Wählen Sie die Registerkarte “Konfiguration„. Erweitern Sie den Verzeichnisquellknoten.

3. Wählen Sie die entsprechende Active Directory-Quelle.

4. Klicken Sie auf die Option zum Bearbeiten des Controllers und wählen Sie dann den neuen Domänencontroller aus.

   Machen Sie den ausgewählten Domänencontroller zum NT PDC FSMO-Rollenbesitzer der Domäne.

5. Speichern Sie die Konfiguration.

6. Halten Sie den Dienst Identity Synchronization auf dem Host an, auf dem Active Directory Connector ausgeführt wird.

7. Löschen Sie alle Dateien mit Ausnahme der Verzeichnisse unter ServerRoot/isw-hostname/persist/ADPxxx. xxx bezeichnet den Nummernteil des Active Directory Connector-Bezeichners.

   Zum Beispiel 100, wenn der Active Directory Connector-Bezeichner CNN100 lautet.

8. Starten Sie den Dienst Identity Synchronization auf dem Host, auf dem Active Directory Connector ausgeführt wird.

9. Befolgen Sie die Schritte entsprechend Ihrem Synchronisierungsfluss in den Abschnitten zur unidirektionalen oder bidirektionalen Synchronisierung.

Failover und Directory Server

Die Datenbank für Retro-Änderungsprotokolle oder für synchronisierte Benutzer oder beide können von einem schwerwiegenden Fehler betroffen sein.

So verwalten Sie den Directory Server-Failover

1. Datenbank für Retro-Änderungsprotokolle

   Möglicherweise sind in der Datenbank für Retro-Änderungsprotokolle Änderungen aufgetreten, die der Directory Server-Konnektor nicht verarbeiten konnte. Die Wiederherstellung der Datenbank für Retro-Änderungsprotokolle macht nur dann Sinn, wenn die Sicherung einige unverarbeitete Änderungen enthält. Vergleichen Sie den aktuellsten Eintrag in der Datei ServerRoot/isw-hostname/persist/ADPxxx/accessor.state mit der aktuellsten changenumber in der Sicherung. Wenn der Wert von accessor.state größer oder gleich der changenumber in der Sicherung ist, sollten Sie die Datenbank nicht wiederherstellen. Erstellen Sie die Datenbank stattdessen neu.

   Nachdem die Datenbank für Retro-Änderungsprotokolle neu erstellt wurde, müssen Sie idsync prepds ausführen. Klicken Sie andernfalls in der Identity Synchronization für Windows-Verwaltungskonsole im Fenster der Sun-Verzeichnisquelle auf “Directory Server vorbereiten„.

   Der Directory Server-Konnektor erkennt, dass die Datenbank für Retro-Änderungsprotokolle erneut erstellt wird und protokolliert eine Warnmeldung. Sie können diese Meldung ignorieren.

2. Synchronisierte Datenbank.

   Wenn für die synchronisierte Datenbank keine Sicherung vorhanden ist, muss der Directory Server-Konnektor neu installiert werden.

   Wenn die synchronisierte Datenbank von einer Sicherung wiederhergestellt werden kann, befolgen Sie die Verfahren in den Abschnitten über die bidirektionale oder die unidirektionale Synchronisierung.

Bekannte Identity Synchronization für Windows-Probleme

In diesem Abschnitt werden bekannte Probleme beschrieben. Bekannten Problemen ist eine Änderungsanforderungsnummer zugewiesen.

6388815

Active Directory-Konnektor und Directory Server-Konnektor stürzen ab, wenn der Versuch unternommen wird, verschachtelte Gruppen zu synchronisieren, da eine derartige Synchronisierung derzeit nicht unterstützt wird.

6594767

Auf Microsoft Windows-Rechnern, auf denen ein Domänencontroller installiert ist, schlägt die Authentifizierung beim Erstellen neuer Server oder beim Registrieren vorhandener Server mit Web Console fehl. Um dieses Problem zu umgehen, geben Sie die Benutzer-ID mit dem Domänennamen für den Domänencontroller an.

4997513

Auf Windows 2003-Systemen wird das Flag, das angibt, dass der Benutzer sein Passwort bei der nächsten Anmeldung ändern muss, standardmäßig festgelegt. Auf Windows 2000-Systemen wird das Flag nicht standardmäßig festgelegt.

Wenn Sie auf Windows 2000- und 2003-Systemen Benutzer erstellen und das Flag Benutzer muss Passwort bei nächster Anmeldung ändern festlegen, werden in Directory Server Benutzer ohne Passwort erstellt. Wenn sich die Benutzer das nächste Mal bei Active Directory anmelden, müssen die Benutzer ihre Passwörter ändern. Durch die Änderung werden ihre Passwörter in Directory Server ungültig. Die Änderung erzwingt auch die bedarfsorientierte Synchronisierung, wenn diese Benutzer das nächste Mal eine Directory Server-Authentifizierung durchführen.

Bis die Benutzer ihr Passwort in Active Directory ändern, können sie keine Directory Server-Authentifizierung durchführen.

5077227

Es können Probleme auftreten, wenn Sie versuchen, die Identity Synchronization für Windows-Konsole mit PC Anywhere 10 mit Remote Administration 2.1 anzuzeigen. Bei Verwendung von PC Anywhere Version 9.2 sind keine Fehler aufgetreten. Wenn weiterhin Probleme bestehen, entfernen Sie die Remote-Verwaltungssoftware. Alternativ kann auch VNC verwendet werden. VNC führt zu keinen Problemen beim Anzeigen der Identity Synchronization für Windows-Konsole.

5097751

Wenn Sie Identity Synchronization für Windows auf einem Windows-System installieren, das mit dem FAT 32-System formatiert ist, stehen keine ACLs zur Verfügung. Deshalb werden für die Konfiguration keine Zugriffsbeschränkungen erzwungen. Um die Sicherheit zu gewährleisten, verwenden Sie für die Installation von Identity Synchronization für Windows lediglich das Windows NTFS-System.

6254516

Wenn das Directory Server-Plug-In mit der Befehlszeile auf den Konsumenten konfiguriert ist, wird vom Plug-In keine neue Unterkomponenten-ID für die Konsumenten erstellt. Die Plug-In-Konfiguration erstellt keine neuen IDs für die Konsumenten.

6288169

Das Passwort-Synchronisierungs-Plug-In für Identity Synchronization für Windows versucht, eine Active Directory-Bindung für Konten herzustellen, die nicht synchronisiert wurden, selbst bevor accountlock und passwordRetryCount geprüft wurden.

Um dieses Problem zu lösen, erzwingen Sie auf dem LDAP-Server eine Passwortrichtlinie. Konfigurieren Sie Access Manager auch für die Verwendung des folgenden Filters bei der Benutzersuche:

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

Bei dieser Lösung wird jedoch eine Fehlermeldung ausgegeben, dass der Benutzer nicht gefunden werden konnte, wenn zu viele Anmeldeversuche über LDAP unternommen werden. Bei dieser Lösung wird das Active Directory-Konto nicht blockiert.

6331956

Die Identity Synchronization für Windows-Konsole startet nicht, wenn o=NetscapeRoot repliziert wird.

6332197

Identity Synchronization für Windows löst Fehler aus, wenn Gruppen mit Benutzerinformationen über noch nicht erstellte Benutzer in Directory Server synchronisiert werden.

6336471

Das Identity Synchronization für Windows-Plug-In kann verkettete Suffixe nicht durchsuchen. Folglich können die Änderungs- und Bindungsoperationen nicht in der Directory Server-Instanz durchgeführt werden.

6337018

Identity Synchronization für Windows sollte den Export der Identity Synchronization für Windows-Konfiguration in eine XML-Datei unterstützen.

6386664

Identity Synchronization für Windows synchronisiert die Benutzer- und Gruppeninformationen zwischen Active Directory und Directory Server, wenn die Gruppensynchronisierungsfunktion aktiviert ist. Die Synchronisierung sollte idealerweise nur dann durchgeführt werden, nachdem der Befehl resync in der Befehlszeile ausgeführt wurde.

6452425

Wenn Sie Identity Synchronization für Windows auf einem Solaris-System installieren, auf dem die SUNWtls-Paketversion 3.11.0 bereits installiert ist, kann der Administration Server eventuell nicht gestartet werden. Um dieses Problem zu beheben, deinstallieren Sie das SUNWtls-Paket vor der Installation von Identity Synchronization für Windows.

6251334

Die Benutzerlöschsynchronisierung kann nicht angehalten werden, selbst nachdem die Active Directory-Quelle geändert wurde. Die Löschsynchronisierung wird deshalb fortgesetzt, wenn die Liste synchronisierter Benutzer einer anderen Organisationseinheit, OU, in derselben Active Directory-Quelle zugeordnet wurde. Der Benutzer wurde scheinbar aus der Directory Server-Instanz gelöscht. Der Benutzer erscheint als gelöscht, selbst wenn der Benutzer aus der Active Directory-Quelle gelöscht wird, die keine SUL-Zuordnung aufweist.

6335193

Sie können den Befehl zur erneuten Synchronisierung ausführen, um die Benutzer von Directory Server mit Active Directory zu synchronisieren. Die Erstellung der Gruppenentität schlägt fehl, wenn einer nicht synchronisierten Gruppe nicht synchronisierte Benutzer hinzugefügt werden.

Um dieses Problem zu umgehen, sollten Sie den Befehl resync zweimal ausführen, damit die Synchronisierung ordnungsgemäß ausgeführt wird.

6339444

Sie können den Synchronisierungsumfang mit der Synchronisationsbenutzerliste unter Verwendung der Schaltfläche “Durchsuchen„ im Fenster “Basis-DN„ angeben. Wenn Sie den Umfang angeben, werden keine Unter-Suffixe abgerufen.

Fügen Sie zum Umgehen dieses Problems ACIs hinzu, um anonymen Zugriff für Lese- und Suchvorgänge zuzulassen.

6379804

Während des Upgrades der Hauptkomponenten von Identity Synchronization für Windows auf Version 1.1 SP1 auf Windows-Systemen, enthält die Datei updateCore.bat einen festcodierten fehlerhaften Verweis auf Administration Server. Das Upgrade kann daher nicht erfolgreich abgeschlossen werden.

Um dieses Problem zu lösen, ersetzen Sie zwei Instanzen von Verweisen auf Administration Server im Upgrade-Skript.

Ersetzen Sie die folgenden Anweisungen in den Zeilen 51 und 95 des Upgrade-Skripts. Ändern Sie die Zeilen wie folgt.

net stop "Sun Java(TM) System Administration Server 5.2"

Die Zeilen sollten stattdessen wie folgt lauten:

net stop admin52-serv

Nachdem Sie die erforderlichen Änderungen durchgeführt haben, führen Sie das Upgrade-Skript erneut aus.

6388872

Für Windows Creation Expressions in einem Directory Server an Active Directory funktioniert der Fluss cn=%cn% für Benutzer und Gruppen. Für jede andere Kombination zeigt Identity Synchronization für Windows Fehler während der Synchronisierung an.

6332183

Identity Synchronization für Windows könnte eventuell Ausnahmen protokollieren, die angeben, dass ein Benutzer bereits vorhanden ist, falls die Hinzufügen-Aktion von Directory Server nach Active Directory fließt, bevor der Löschvorgang dies kann. Es kann eine Wettlaufsituation auftreten, in der die Hinzufügen-Operation während der Synchronisierung vor dem Löschen ausgeführt wird und so dazu führt, dass Active Directory einen Ausnahmefehler protokolliert.

Beispiel: Ein Benutzer dn: user1, ou=isw_data wird einer vorhandenen Gruppe dn: DSGroup1,ou=isw_data hinzugefügt. Wenn der Benutzer wieder aus der Gruppe gelöscht wird, ändert sich uniquemember der Gruppe. Wird derselbe Benutzer einer Gruppe hinzugefügt, die denselben DN verwendet (für userdn: user1, ou=isw_data), wird eine Hinzufügen-Operation durchgeführt. Hier protokolliert Identity Synchronization für Windows möglicherweise Ausnahmefehler, die angeben, dass der Benutzer bereits existiert.

6444341

Das Identity Synchronization für Windows-Deinstallationsprogramm ist nicht lokalisiert. Die Dateien WPSyncResources_X.properties können nicht im Verzeichnis /opt/sun/isw/locale/resources installiert werden.

Um dieses Problem zu lösen, kopieren Sie die fehlenden Dateien WPSyncResources_X.properties manuell aus dem Verzeichnis installer/locale/resources.

6444878

Installieren und konfigurieren Sie Java Development Kit Version 1.5.0_06, bevor Sie Administration Server ausführen.

6444896

Wenn Sie eine textbasierte Installation von Identity Synchronization für Windows ausführen, das Administratorpasswort leer lassen und return eingeben, wird das Installationsprogramm beendet.

6452538

Auf Windows-Plattformen benötigt Message Queue 3.5, das von Identity Synchronization für Windows verwendet wird, einen PATH-Wert, der kürzer als 1 Kilobyte ist. Längere Werte werden abgeschnitten.

6486505

Unter Windows unterstützt Identity Synchronization für Windows nur englische und japanische Ländereinstellungen.

6477567

In Directory Server Enterprise Edition 6.3 wird das Directory Server-Plug-In für Identity Synchronization für Windows mit der Directory Server-Installation installiert. Das Identity Synchronization für Windows-Installationsprogramm installiert das Directory Server-Plug-In nicht. Stattdessen konfiguriert Identity Synchronization für Windows das Plug-In nur.

Bei dieser Version von Identity Synchronization für Windows werden Sie vom textbasierten Installationsprogramm nicht zur Konfiguration des Directory Server-Plug-Ins für Identity Synchronization für Windows während des Installationsprozesses aufgefordert. Führen Sie als Lösung den Befehl Idsync dspluginconfig im Terminal-Fenster aus, nachdem die Identity Synchronization für Windows-Installation beendet wurde.

6472296

Nach Installation auf Windows-Systemen mit japanischem Gebietsschema sind die Identity Synchronization für Windows-Benutzeroberflächen nicht vollständig lokalisiert.

Geben Sie vor Beginn der Installation in der Umgebungsvariable PATH unzip.exe an, um dieses Problem zu umgehen.

6485333

Das Installations- und Deinstallationsprogramm auf Windows-Systemen ist nicht internationalisiert.

6492125

Der Inhalt der Identity Synchronization für Windows-Online-Hilfe zeigt in CCK-Gebietsschemen Quadrate statt Multibyte-Zeichen an.

6501874

Die Kontosperrensynchronisierung schlägt von Directory Server auf Active Directory fehl, wenn der Directory Server-Passwortkompatibilitätsmodus pwd-compat-mode mit DS6-migration-mode bzw. DS6-mode festgelegt ist.

6501886

Wenn sich das Passwort des Active Directory-Domänenadministrators ändert, kann die Identity Synchronization für Windows-Konsole eine Warnung anzeigen. Die angezeigte Warnung lautet Invalid credentials for Host-hostname .domainnname, auch wenn das verwendete Passwort gültig ist.

6529349

Unter SPARC kann Identity Synchronization für Windows möglicherweise nicht deinstalliert werden, weil die Datei /usr/share/lib/mps//jss4.jar nicht vorhanden ist. Dies passiert nur während der Installation des Produkts, wenn das Installationsprogramm die bereits installierte Instanz des SUNWjss-Pakets findet und diese nicht aktualisiert.

Um das Problem zu umgehen, fügen Sie bei der Installation des Produkts /usr/share/lib/mps/secv1/jss4.jar in den Java-Klassenpfad ein.

$JAVA_EXEC -Djava.library.path=./lib \ -classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\ ${SUNWjss}/usr/share/lib/mps/jss4.jar:\ ${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\ ./lib/ldap.jar:./lib/webstart.jar:\ ${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\ ./resources:./locale/resources:./lib/common.jar:\ ./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \ -Djava.util.logging.config.file=./resources/Log.properties \ -Djava.util.logging.config.file=../resources/Log.properties \ -Dcom.sun.directory.wps.logging.redirectStderr=false \ -Dcom.sun.directory.wps.logging.redirectStdout=false \ uninstall_ISW_Installer $1

6572575

Damit die Gruppensynchronisation beim Ausführen des Befehls resync erfolgreich durchgeführt werden kann, sollten Benutzer und Gruppe auf der gleichen Ebene im Synchronisationsbereich angesiedelt sein. Anderenfalls wird eine Fehlermeldung angezeigt.