Chapitre 5 Bogues résolus et problèmes résolus de Identity Synchronization pour Windows

Ce chapitre contient d'importantes informations, propres au produit, disponibles à la sortie de Identity Synchronization pour Windows.

Ce chapitre inclut les sections suivantes:

• Bogues résolus dans Identity Synchronization pour Windows

• Problèmes connus et restrictions de Identity Synchronization pour Windows

Bogues résolus dans Identity Synchronization pour Windows

Cette section répertorie les bogues corrigés depuis la dernière version de Identity Synchronization pour Windows.

6600668/6611925

Le connecteur Directory Server ne peut pas passer en mode SYNCING (mode de synchronisation) si Identity Synchronization pour Windows 6.0 est installé sur un système x86/AMD.

6557128

Le plug-in Identity Synchronization pour Windows entraîne l'arrêt brutal de l'hôte Directory Server lorsqu'il tente de consigner des événements en utilisant une connexion périmée.

6595244

Le journal de débogage renvoie une erreur lors de la définition de la journalisation de débogage dans le fichier WatchList.properties.

Problèmes connus et restrictions de Identity Synchronization pour Windows

Cette section énumère les problèmes et les restrictions connus à la sortie de cette version.

Restrictions de Identity Synchronization pour Windows

Cette section énumère les restrictions du produit. Les restrictions ne sont pas toujours associées à un numéro de demande de modification.

Identity Synchronization pour Windows requiert l'installation correcte de sun-sasl-2.19-4.i386.rpm.

Sous Linux, vérifiez que le package sun-sasl-2.19-4.i386.rpm est installé avant d'installer Identity Synchronization pour Windows sur votre système. Autrement, Identity Synchronization pour Windows ne sera pas correctement installé. Vous pouvez prendre le package SASL des composants partagés de la distribution JES 5 ou ultérieure.

Ne modifiez pas manuellement les droits d'accès aux fichiers.

Les modifications des droits d'accès aux fichiers du produit Directory Server Enterprise Edition installé peuvent parfois empêcher le fonctionnement correct du système.

Il est possible de résoudre cette restriction en installant les produits en tant qu'utilisateur possédant des droits d'accès utilisateur et de groupe appropriés.

Aucun basculement du service de base de Identity Synchronization pour Windows.

Si vous perdez le système sur lequel sont installés les services de base de Identity Synchronization pour Windows, vous devez procéder à une réinstallation. Le service de base de Identity Synchronization pour Windows n'est pas basculé.

Faites une copie de sauvegarde de ou=services (branche de configuration de l'arborescence d'informations d'annuaire de Identity Synchronization pour Windows) au format LDIF et utilisez ces informations lors de la réinstallation de Identity Synchronization pour Windows.

Changement du comportement d'authentification sous Microsoft Windows 2003 SP1.

Lorsque vous installez Windows 2003 SP1, les utilisateurs sont autorisés par défaut à accéder à leurs comptes pendant une heure à l'aide de leurs anciens mots de passe.

Par conséquent, lorsque des utilisateurs modifient leurs mots de passe sous Active Directory, l'attribut de synchronisation à la demande dspswvalidate est défini sur true et l'ancien mot de passe peut être utilisé pour s'authentifier dans Directory Server. Le mot de passe synchronisé dans Directory Server est alors l'ancien mot de passe au lieu du mot de passe Active Directory actuel.

Reportez-vous à la documentation d'aide de Microsoft Windows pour plus d'informations sur la désactivation de cette fonctionnalité.

Supprimez serverroot.conf avant de supprimer le serveur d'administration

Pour désinstaller le serveur d'administration, supprimez /etc/mps/admin/v5.2/shared/config/serverroot.conf avant de supprimer le package du serveur d'administration.

Indiquez le chemin d'accès aux fichiers admin jar dans CLASSPATH

CLASSPATH doit contenir l'emplacement des fichiers admin jar. Si tel n'est pas le cas, une erreur noClassDefFound s'affiche pendant la resynchronisation.

Exécution de la récupération des données lorsque le système ou l'application échoue

Après une panne matérielle ou logicielle, il se peut que vous deviez restaurer les données à partir d'une sauvegarde dans certaines des sources d'annuaire synchronisées.

Une fois la récupération de données terminée, vous devez toutefois exécuter une procédure supplémentaire pour garantir que la synchronisation peut se poursuivre normalement.

Les connecteurs conservent généralement des informations concernant la dernière modification transmise à la file d'attente des messages.

Ces informations, appelée l'état des connecteurs, permet de déterminer les changements ultérieurs que le connecteur doit lire à partir de sa propre source d'annuaire. Si la base de données d'une source d'annuaire synchronisée est restaurée à partir d'une sauvegarde, l'état du connecteur risque de ne plus être valide.

Les connecteurs Windows d'Active Directory et de Windows NT conservent également une base de données interne. La base de données correspond à une copie de la source de données synchronisée. La base de données permet de déterminer ce qui a changé dans la source de données connectée. La base de données interne n'est plus valide une fois la source Windows connectée restaurée depuis une sauvegarde.

En règle générale, la commande idsync resync permet de recharger la source de données récupérée.

Il est impossible d'utiliser la resynchronisation pour synchroniser des mots de passe à une exception. L'option -i ALL_USERS peut servir à invalider les mots de passe dans Directory Server. Ceci fonctionne si la source de données de resynchronisation est Windows. La liste des SUL doit également ne comprendre que des systèmes Active Directory.

L'utilisation de la commande idsync resync risque, cependant, de ne pas constituer une option acceptable dans toutes les situations.

Avant d'exécuter les étapes détaillées ci-après, veillez à ce que la synchronisation soit interrompue.

Synchronisation bidirectionnelle

Utilisez la commande idsync resync avec les paramètres de modification appropriés, conformément aux paramètres de synchronisation. Utilisez la source d'annuaire récupérée comme cible de l'opération resync.

Synchronisation unidirectionnelle

Si la source de données récupérée est une destination de synchronisation, il est possible d'appliquer la même procédure que pour la synchronisation bidirectionnelle.

Si la source de données récupérée est une source de synchronisation, il est encore possible d'utiliser la commande idsyncresync pour recharger la source d'annuaire récupérée. Vous ne devez pas modifier les paramètres de flux de la synchronisation dans la configuration d'Identity Synchronization pour Windows. La commande idsync resync vous permet de définir le flux de synchronisation indépendamment des flux configurés avec l'option -o Windows|Sun.

Étudions le scénario suivant à titre d'exemple.

La synchronisation bidirectionnelle est configurée entre Directory Server et Active Directory.

• La base de données d'un serveur Microsoft Active Directory doit être récupérée à partir d'une sauvegarde.

• Dans Identity Synchronization pour Windows, cette source Active Directory est configurée pour le SUL AD.

• La synchronisation bidirectionnelle des modifications, créations et suppressions est configurée entre cette source Active Directory et une source Sun Directory Server.

Exécution d'une synchronisation unidirectionnelle

1. Arrêtez la synchronisation.

   idsync stopsync -w - -q -

2. Resynchronisez la source Active Directory. Resynchronisez également les modifications, les créations et les suppressions.

   idsync resync -c -x -o Sun -l AD -w - -q -

3. Redémarrez la synchronisation.

   idsync startsync -w - -q -

Procédures de récupération propres à la source d'annuaire

Les procédures suivantes correspondent à des sources d'annuaires spécifiques.

Microsoft Active Directory

Si Active Directory peut être restauré depuis une sauvegarde, observez les procédures présentées dans les sections couvrant la synchronisation bidirectionnelle ou unidirectionnelle.

Toutefois, il vous faudra peut-être utiliser un autre contrôleur de domaine après une panne critique. Le cas échéant, observez les étapes de mise à jour de la configuration du connecteur Active Directory.

Modification du le contrôleur de domaine

1. Démarrez la console de gestion Identity Synchronization pour Windows.

2. Sélectionnez l'onglet Configuration. Développez le noeud Sources d'annuaire.

3. Sélectionnez la source Active Directory appropriée.

4. Cliquez sur Modifier le contrôleur, puis sélectionnez le nouveau contrôleur de domaine.

   Attribuez au contrôleur de domaine sélectionné la propriété du rôle NT PDC FSMO du domaine.

5. Enregistrez la configuration.

6. Arrêtez le service Identity Synchronization sur l'hôte sur lequel le connecteur Active Directory est en cours d'exécution.

7. Supprimez tous les fichiers à l'exception des annuaires sous ServerRoot/isw-hostname/persist/ADPxxx. xxx signifie la partie de numéro servant à identifier le connecteur Active Directory.

   Par exemple, 100 si l'identifiant du connecteur Active Directory est CNN100.

8. Lancez le service Identity Synchronization sur l'hôte sur lequel le connecteur Active Directory est en cours d'exécution.

9. Observez les étapes conformément au flux de synchronisation des sections sur la synchronisation bidirectionnelle ou unidirectionnelle.

Basculement et Directory Server

La base de données du journal des modifications rétroactif, la base de données contenant les utilisateurs synchronisés ou les deux peuvent rencontrer une panne critique.

Gestion du basculement de Directory Server

1. Base de données du journal des modifications rétroactif.

   Il se peut que des modifications ne pouvant pas être traitées par le connecteur Directory Server se soient produites dans la base de données du journal de modification rétroactif. La restauration de la base de données du journal de modification rétroactif n'a de sens que si la sauvegarde contient des modifications non traitées. Comparez l'entrée la plus récente dans le fichier ServerRoot/isw-hostname/persist/ADPxxx/accessor.state avec la dernière valeur de changenumber dans la sauvegarde. Si la valeur dans accessor.state est supérieure ou équivalente à la valeur dans changenumber dans la sauvegarde, ne restaurez pas la base de données. Recréez plutôt la base de données.

   Une fois la base de données du journal des modifications rétroactif recréée, veillez à exécuter idsync prepds. Vous pouvez également cliquer sur Préparer Directory Server dans la fenêtre Source d'annuaire Sun de la console de gestion de Identity Synchronization pour Windows.

   Le connecteur Directory Server détecte la recréation de la base de données du journal des modifications rétroactif et consigne un message d'avertissement dans le journal. Vous pouvez ignorer ce message en toute sécurité.

2. Base de données synchronisée.

   Si aucune sauvegarde n'est disponible pour la base de données synchronisée, il est nécessaire de réinstaller le connecteur Directory Server.

   S'il est possible de restaurer la base de données synchronisée à partir d'une sauvegarde, observez les procédures décrites dans les sections sur la synchronisation bidirectionnelle ou unidirectionnelle.

Problèmes connus de Identity Synchronization pour Windows

Cette section énumère les problèmes connus. Les problèmes connus sont associés à un numéro de demande de modification.

6388815

Les connecteurs Active Directory et les connecteurs Directory Server s'arrêtent brutalement lors d'une tentative de synchronisation de groupes imbriqués, ce type de synchronisation n'étant pas pris en charge actuellement.

6594767

Sur les ordinateurs fonctionnant sous Microsoft Windows et possédant un contrôleur de domaine, l'authentification échoue lors de la création d'un nouveau serveur ou lors de l'enregistrement d'un serveur existant avec Webconsole. Pour résoudre ce problème, indiquez l'ID utilisateur avec le nom de domaine du contrôleur de domaine.

4997513

Sous Windows 2003, l'indicateur qui signale que l'utilisateur doit changer son mot de passe à la prochaine connexion est configuré par défaut. Sous Windows 2000, l'indicateur n'est pas configuré par défaut.

Lorsque vous créez des utilisateurs sous Windows 2000 et 2003 en activant l'indicateur L'utilisateur doit changer de mot de passe à la prochaine connexion, les utilisateurs sont créés sans mot de passe sur Directory Server. La prochaine fois que les utilisateurs se connecteront à Active Directory, ils devront modifier leur mot de passe. Cette modification invalide leurs mots de passe sur Directory Server. La modification imposera également une synchronisation à la demande la prochaine fois que ces utilisateurs s'authentifieront sur Directory Server.

Les utilisateurs ne peuvent pas s'authentifier sur Directory Server tant qu'ils n'ont pas modifié leur mot de passe dans Active Directory.

5077227

Des problèmes peuvent survenir lors d'une tentative d'affichage de la console Identity Synchronization pour Windows avec PC Anywhere 10 avec Remote Administration 2.1. Il n'a été constaté aucune erreur de ce genre avec PC Anywhere version 9.2. Si le problème persiste, supprimez le logiciel d'administration à distance. Vous pouvez également utiliser VNC. VNC est connu pour provoquer des problèmes lors de l'affichage de la console Identity Synchronization pour Windows.

5097751

Si vous installez Identity Synchronization pour Windows sur un système Windows formaté en système FAT 32, aucune ACL n'est disponible. Par ailleurs, aucune restriction d'accès n'est imposée pour l'installation. Pour garantir la sécurité, n'utilisez que le système Windows NTFS pour installer Identity Synchronization pour Windows.

6254516

Lorsque le plug-in de Directory Server est configuré sur les consommateurs avec la ligne de commande, il ne crée pas de nouvel ID de sous-composant pour les consommateurs. La configuration du plug-in ne crée pas de nouveaux ID pour les consommateurs.

6288169

Le plug-in de synchronisation des mots de passe de Identity Synchronization pour Windows tente de lier à Active Directory des comptes qui n'ont pas été synchronisés, y compris avant la vérification de accountlock et de passwordRetryCount.

Pour résoudre ce problème, appliquez une stratégie de mots de passe au serveur LDAP. Vous pouvez également configurer Access Manager pour utiliser le filtre suivant sur la recherche utilisateur :

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

Cette solution renvoie, cependant, une erreur d'utilisateur introuvable lorsque le nombre de tentatives de connexion sur LDAP est trop important. Cette solution ne verrouille pas le compte Active Directory.

6331956

La console Identity Synchronization pour Windows ne parvient pas démarrer si la commande o=NetscapeRoot est répliquée.

6332197

Identity Synchronization pour Windows renvoie des erreurs lorsque des groupes contenant des informations sur des utilisateurs qui n'ont pas encore été créés, sont synchronisés sur Directory Server.

6336471

Le plug-in de Identity Synchronization pour Windows ne peut pas effectuer de recherche dans les suffixes chaînés. Par conséquent, les opérations de modification et de liaison ne sont pas exécutables sur l'instance de Directory Server.

6337018

Identity Synchronization pour Windows doit prendre en charge l'exportation de la configuration de Identity Synchronization pour Windows dans un fichier XML.

6386664

Identity Synchronization pour Windows synchronise les informations sur les utilisateurs et les groupes entre Active Directory et Directory Server lorsque la fonction de synchronisation des groupes est activée. Dans l'idéal, la synchronisation ne doit intervenir qu'après l'émission de la commande resync sur la ligne de commande.

6452425

Si vous installez Identity Synchronization pour Windows sur un système Solaris sous lequel le package SUNWtls version 3.11.0 est installé, le serveur d'administration risque de ne pas démarrer. Pour résoudre ce problème, désinstallez le package SUNWtls avant d'installer Identity Synchronization pour Windows.

6251334

Il est impossible d'interrompre la synchronisation de suppression des utilisateurs même après modification de la source Active Directory. Par conséquent, la synchronisation de suppression se poursuit après le mappage de la liste des utilisateurs sur une autre unité d'organisation, OU, dans la même source Active Directory. L'utilisateur semble avoir été supprimé de l'instance de Directory Server. L'utilisateur apparaît comme supprimé même si l'utilisateur est supprimé de la source Active Directory qui ne possède pas de mappage SUL.

6335193

Vous pouvez tenter d'exécuter la commande de resynchronisation pour synchroniser les utilisateurs de Directory Server sur Active Directory. La création de l'entité de groupe échoue si des utilisateurs non synchronisés sont ajoutés à un groupe non synchronisé.

Pour résoudre ce problème, vous devez exécuter la commande resync deux fois afin que la synchronisation se déroule correctement.

6339444

Vous pouvez spécifier la portée de la synchronisation avec la liste des utilisateurs de synchronisation au moyen du bouton Parcourir du volet DN de base. Lorsque vous spécifiez la portée, les sous-suffixes ne sont pas récupérés.

Pour résoudre ce problème, ajoutez des ACI pour autoriser un accès anonyme à des lectures et des recherches.

6379804

Pendant la mise à niveau de composants de base de Identity Synchronization pour Windows vers la version 1.1 SP1 sur les systèmes Windows, le fichier updateCore.bat contient une référence incorrecte à code permanent au serveur d'administration. De ce fait, le processus de mise à niveau échoue.

Pour résoudre ce problème, remplacez deux instances de référence au serveur d'administration dans le script de mise à niveau.

Remplacez les instructions suivantes sur les lignes 51 et 95 du script de mise à niveau. Modifiez les lignes comme suit.

net stop "Sun Java(TM) System Administration Server 5.2"

Les lignes doivent être lues comme suit :

net stop admin52-serv

Une fois les modifications spécifiées apportées, réexécutez le script de mise à niveau.

6388872

Pour les expressions de création Windows de Directory Server vers Active Directory, le flux cn=%cn% est compatible avec les utilisateurs et les groupes. Pour toutes les autres combinaisons, Identity Synchronization pour Windows renvoie des erreurs pendant la synchronisation.

6332183

Identity Synchronization pour Windows peut consigner des exceptions stipulant qu'un utilisateur existe déjà si l'action d'ajout bascule de Directory Server vers Active Directory avant la fin de l'action de suppression. Une condition de compétitivité peut survenir si l'opération d'ajout est exécutée avant l'opération de suppression pendant la synchronisation. Le cas échéant, Active Directory consigne une exception dans le journal.

Par exemple, si un utilisateur dn: user1, ou=isw_data est ajouté à un groupe, dn: DSGroup1,ou=isw_data, lorsqu'il est supprimé de celui-ci, le uniquemember du groupe est modifié. Si le même utilisateur est ajouté à un groupe ayant le même DN (pour userdn: user1, ou=isw_data), une opération d'ajout est effectuée. Identity Synchronization pour Windows peut alors consigner des exceptions indiquant que l'utilisateur existe déjà.

6444341

Le programme de désinstallation de Identity Synchronization pour Windows n'est pas localisé. Impossible d'installer le fichier WPSyncResources_X.properties dans le répertoire /opt/sun/isw/locale/resources.

Pour résoudre ce problème, copiez manuellement les fichiers WPSyncResources_X.properties manquants du répertoire installer/locale/resources.

6444878

Installez et configurez Java Development Kit version 1.5.0_06 avant d'exécuter le serveur d'administration.

6444896

Lors de l'installation de Identity Synchronization pour Windows en mode texte, ne pas indiquer de mot de passe administrateur et entrer un retour chariot provoque la fermeture du programme d'installation.

6452538

Sur les plates-formes Windows, Message Queue 3.5 utilisé par Identity Synchronization pour Windows requiert une valeur PATH dont la longueur est inférieure à 1 kilo-octet. Les valeurs plus longues sont tronquées.

6486505

Sous Windows, Identity Synchronization pour Windows ne prend en charge que l'anglais et le japonais.

6477567

Dans Directory Server Enterprise Edition 6.3, le plug-in de Directory Server pour Identity Synchronization pour Windows est installé en même temps que Directory Server. Le programme d'installation de Identity Synchronization pour Windows n'installe pas le plug-in de Directory Server. Identity Synchronization pour Windows se contente de configurer le plug-in.

Dans cette version de Identity Synchronization pour Windows, le programme d'installation en mode texte ne vous invite pas à configurer le plug-in de Directory Server pour Identity Synchronization pour Windows pendant le processus d'installation. Pour résoudre ce problème, exécutez la commande Idsync dspluginconfig dans la dernière fenêtre une fois l'installation de Identity Synchronization pour Windows terminée.

6472296

Après l'installation dans l'environnement linguistique japonais sous Windows, les interfaces utilisateur de Identity Synchronization pour Windows ne sont pas complètement localisées.

Pour résoudre ce problème, insérez unzip.exe dans la variable d'environnement PATH avant de procéder à l'installation.

6485333

Le programme d'installation et de désinstallation sous Windows ne sont pas localisés.

6492125

Le contenu de l'aide en ligne de Identity Synchronization pour Windows affiche des carrés au lieu des caractères multioctets dans les environnements linguistiques CCK.

6501874

Échec de la synchronisation de verrouillage de compte de Directory Server vers Active Directory lorsque le mode de comptabilité du mot de passe Directory Server, pwd-compat-mode, est défini sur DS6-migration-mode ou DS6-mode.

6501886

En cas de modification du mot de passe administrateur de domaine Active Directory, il a été constaté que la console de Identity Synchronization pour Windows affiche un avertissement. L'avertissement affiché est Invalid credentials for Host-hostname .domainnname, même si le mot de passe utilisé est valide.

6529349

Sur Solaris SPARC, Identity Synchronization pour Windows peut ne pas se désinstaller faute de trouver le fichier /usr/share/lib/mps//jss4.jar. Cela n'arrive que pendant l'installation du produit, lorsque le programme d'installation détecte que l'instance du package SUNWjss est installé et qu'il ne la met pas à jour.

Pour résoudre ce problème, ajoutez /usr/share/lib/mps/secv1/jss4.jar dans le chemin de classe Java, au moment de l'installation.

$JAVA_EXEC -Djava.library.path=./lib \ -classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\ ${SUNWjss}/usr/share/lib/mps/jss4.jar:\ ${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\ ./lib/ldap.jar:./lib/webstart.jar:\ ${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\ ./resources:./locale/resources:./lib/common.jar:\ ./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \ -Djava.util.logging.config.file=./resources/Log.properties \ -Djava.util.logging.config.file=../resources/Log.properties \ -Dcom.sun.directory.wps.logging.redirectStderr=false \ -Dcom.sun.directory.wps.logging.redirectStdout=false \ uninstall_ISW_Installer $1

6572575

Pour que la synchronisation du groupe fonctionne correctement pendant la resync, l'utilisateur et le groupe doivent se trouver au même niveau dans l'étendue de la synchronisation. Sinon, une erreur s'affiche.