Sun Java System Directory Server Enterprise Edition 6.3 发行说明

Identity Synchronization for Windows 中的已知问题和限制

本部分列出了发行时的已知问题和限制。

Identity Synchronization for Windows 限制

本部分列出了产品限制。限制并不总是与更改请求号相关联。

Identity Synchronization for Windows 要求成功安装 sun-sasl-2.19-4.i386.rpm

在 Linux 上安装 Identity Synchronization for Windows 之前,应确保已在系统上安装了 sun-sasl-2.19-4.i386.rpm 软件包。否则,Identity Synchronization for Windows 安装将会失败。可以从 JES 5 或更高版本分发包的共享组件中获取 SASL 软件包。

不要手动更改文件权限。

在某些情况下,更改已安装的 Directory Server Enterprise Edition 产品文件的文件权限可能会导致软件无法正常工作。

要解除此限制,请以具有合适用户和组权限的用户身份安装产品。

Identity Synchronization for Windows 核心服务没有故障转移功能。

如果安装了 Identity Synchronization for Windows 核心服务的系统遭到损坏,则需要再次安装该系统。Identity Synchronization for Windows 核心服务没有故障转移功能。

以 LDIF 格式备份 ou=services(Identity Synchronization for Windows DIT 的配置分支),并在重新安装 Identity Synchronization for Windows 时使用此信息。

Microsoft Windows 2003 SP1 上验证行为的更改。

安装 Windows 2003 SP1 时,默认情况下用户可以有一小时的时间使用旧密码访问其帐户。

因此,当用户在 Active Directory 上更改密码时,即需即用同步属性 dspswvalidate 将被设置 True,因此可以使用旧密码进行目录服务器验证。此时,在目录服务器上同步的密码是先前的旧密码,而不是当前的 Active Directory 密码。

有关如何禁用此功能的详细信息,请参见 Microsoft Windows 支持文档

在删除管理服务器之前删除 serverroot.conf

要卸载管理服务器,请在删除管理服务器软件包之前删除 /etc/mps/admin/v5.2/shared/config/serverroot.conf

CLASSPATH 中提供 admin jar 路径

CLASSPATH 应包含 admin jar 的位置,否则在重新同步过程中会显示 noClassDefFound 错误。

在系统或应用程序发生错误时执行数据恢复

在硬件发生故障或应用程序发生错误后,可能需要通过某些同步目录源中的备份来恢复数据。

但是在完成数据恢复后,必须执行一个附加过程,以确保同步能够继续正常进行。

连接器通常会保留已传播到消息队列的最后一个更改的相关信息。

此信息(称为连接器状态)用于确定连接器必须从其目录源中读取的后续更改。如果从备份恢复同步目录源的数据库,则连接器状态可能不再有效。

适用于 Active Directory 和 Windows NT 的 Windows 连接器还会维护一个内部数据库。该数据库是已同步的数据源的副本。该数据库用于确定在连接的数据源中所发生的更改。从备份恢复已连接的 Windows 源之后,内部数据库将不再有效。

通常,idsync resync 命令可用于重新填充已恢复的数据源。


注 –

重新同步无法用于同步密码,但存在一个例外情况。-i ALL_USERS 选项可用于使目录服务器中的密码无效。这适用于重新同步数据源为 Windows 的情况。另外,SUL 列表只能包含 Active Directory 系统。


但是,并非在所有情况下都适合使用 idsync resync 命令。


注意 – 注意 –

在执行下面详细介绍的任一步骤之前,请先确保已停止同步。


双向同步

按照同步设置,将 idsync resync 命令与相应的修饰符设置结合使用。使用已恢复的目录源作为 resync 操作的目标。

单向同步

如果已恢复的数据源为同步目标,则可以执行与双向同步相同的过程。

如果已恢复的数据源为同步源,则仍可使用 idsync resync 重新填充已恢复的目录源。无需更改 Identity Synchronization for Windows 配置中的同步流设置。idsync resync 命令允许您使用-o Windows|Sun 选项设置单独的同步流(独立于已配置的同步流)。

可以考虑将以下方案作为示例。

在目录服务器和 Active Directory 之间设置双向同步。

Procedure执行单项同步

  1. 停止同步。


    idsync stopsync -w - -q -
  2. 重新同步 Active 目录源。此外,再重新同步修改、创建和删除。


    idsync resync -c -x -o Sun -l AD -w - -q -
  3. 重新启动同步。


    idsync startsync -w - -q -

特定于目录源的恢复过程

以下过程与特定的目录源相关。

Microsoft Active Directory

如果可以从备份恢复 Active Directory,请按照双向同步或单向同步部分所描述的过程执行操作。

但是,如果发生了严重错误,可能必须使用其他域控制器。在这种情况下,请按照以下步骤更新 Active Directory 连接器的配置。

Procedure更改域控制器

  1. 启动 Identity Synchronization for Windows 管理控制台。

  2. 选择“配置”选项卡。展开“目录源”节点。

  3. 选择相应的 Active 目录源。

  4. 单击“编辑控制器”,然后选择新的域控制器。

    将选定的域控制器作为域的 NT PDC FSMO 角色属主

  5. 保存该配置。

  6. 在运行 Active Directory 连接器的主机上停止 Identity Synchronization 服务。

  7. 删除 ServerRoot/isw-hostname/persist/ADPxxx 下除目录之外的所有文件。其中 xxx 为 Active Directory 连接器标识符的数字部分。

    例如,如果 Active Directory 连接器标识符为 CNN100,则该值为 100

  8. 在运行 Active Directory 连接器的主机上启动 Identity Synchronization 服务。

  9. 根据您的同步流,按照单向同步或双向同步部分所描述的步骤执行操作。

故障转移和目录服务器

严重错误可能会影响追溯更改日志数据库或/和包含同步用户的数据库。

Procedure管理目录服务器故障转移

  1. 追溯更改日志数据库。

    追溯更改日志数据库中可能出现目录服务器连接器无法处理的更改。只有在备份中包含某些未处理的更改时,恢复追溯更改日志数据库才有意义。将 ServerRoot/isw-hostname/persist/ADPxxx/accessor.state 文件中的最新条目与备份中的最新 changenumber 进行比较。如果 accessor.state 中的值大于或等于备份中的 changenumber,请不要恢复数据库。 此时请重新创建数据库。

    在重新创建追溯更改日志数据库后,请务必运行 idsync prepds。或者,在 Identity Synchronization for Windows 管理控制台的“Sun 目录源”窗口中单击“准备目录服务器”。

    目录服务器连接器检测到已重新创建追溯更改日志数据库,并记录一条警告消息。您可以忽略此消息,而不会有任何影响。

  2. 同步的数据库。

    如果没有备份可用于同步的数据库,则必须重新安装目录服务器连接器。

    如果可以从备份恢复同步的数据库,请按照双向同步或单向同步部分所描述的过程执行操作。

Identity Synchronization for Windows 的已知问题

本部分列出了已知问题。已知问题与更改请求号相关联。

6388815

尝试同步嵌套组时,由于目前不支持此类同步,因此 Active Directory 连接器和目录服务器连接器会崩溃。

6594767

在运行 Microsoft Windows 且安装了域控制器的计算机上,在使用 Webconsole 创建新服务器或注册现有服务器时验证失败。要解决此问题,请使用域控制器的域名称来指定 userID。

4997513

在 Windows 2003 系统上默认设置了一个标记,指出用户下次登录时必须更改密码。在 Windows 2000 系统上,默认情况下未设置该标记。

在设置了用户在下次登录时必须更改密码标记的 Windows 2000 和 2003 系统上创建用户时,将在目录服务器上创建没有密码的用户。用户下次登录到 Active Directory 时必须更改密码。更改将使目录服务器上的密码失效。 更改密码后,这些用户在下次通过目录服务器验证时,将强制执行按需同步。

用户在更改 Active Directory 上的密码之前,将无法通过目录服务器验证。

5077227

尝试使用具有 Remote Administration 2.1 的 PC Anywhere 10 查看 Identity Synchronization for Windows 控制台时可能会出现问题。PC Anywhere 9.2 则不会产生错误。如果问题仍然存在,请删除远程管理软件。或者,也可以使用 VNC。目前为止,VNC 在显示 Identity Synchronization for Windows 控制台时尚未出现问题。

5097751

如果在使用 FAT 32 系统格式化的 Windows 系统上安装 Identity Synchronization for Windows,则没有可用的 ACL。此外,也没有为设置实施任何访问限制。要确保安全,请只使用 Windows NTFS 系统安装 Identity Synchronization for Windows。

6254516

使用命令行对使用方配置目录服务器插件时,该插件不会为使用方创建新的子组件 ID 。该插件配置不会为使用方创建新的 ID。

6288169

Identity Synchronization for Windows 的密码同步插件甚至在检查 accountlockpasswordRetryCount 之前,即尝试为尚未同步的帐户绑定到 Active Directory。

要解决此问题,请在 LDAP 服务器上强制执行密码策略。此外,还要将 Access Manager 配置为在用户搜索中使用以下过滤器:

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

但是,如果通过 LDAP 进行的登录尝试过多,此解决方法会抛出有关找不到用户的错误。此解决方法不会阻止 Active Directory 帐户。

6331956

如果复制 o=NetscapeRoot,Identity Synchronization for Windows 控制台将无法启动。

6332197

在目录服务器上同步组(包含尚未创建的用户的信息)时,Identity Synchronization for Windows 抛出错误。

6336471

Identity Synchronization for Windows 插件无法搜索链接后缀。因此,无法对目录服务器实例执行修改和绑定操作。

6337018

Identity Synchronization for Windows 应该支持将 Identity Synchronization for Windows 配置导出到 XML 文件中。

6386664

启用组同步功能时,Identity Synchronization for Windows 将在 Active Directory 和目录服务器之间同步用户和组信息。理想情况下,同步只应在从命令行发出 resync 命令之后发生。

6452425

如果您在安装了 SUNWtls 软件包版本 3.11.0 的 Solaris 系统上安装 Identity Synchronization for Windows,则管理服务器可能无法启动。要解决此问题,请在安装 Identity Synchronization for Windows 之前卸载 SUNWtls 软件包。

6251334

即使在更改 Active 目录源之后,仍然无法停止用户删除同步。因此,将同步用户列表映射到同一 Active 目录源中的不同组织单位 (organizational unit, OU) 时,删除同步仍会继续。用户在目录服务器实例中显示为已删除。即使已经从没有 SUL 映射的 Active 目录源中删除用户,该用户仍显示为已删除。

6335193

您可能尝试运行重新同步命令,以便将用户从目录服务器同步到 Active Directory。如果将未同步的用户添加到未同步的组,将无法创建组实体。

要解决此问题,应该运行 resync 命令两次,以便正确进行同步。

6339444

可以通过“基标识名”窗格中的“浏览”按钮,使用同步用户列表来指定同步范围。指定范围后,将不会检索子后缀。

要解决此问题,请添加相应的 ACI,以便允许通过匿名访问进行读取和搜索。

6379804

在 Windows 系统上将 Identity Synchronization for Windows 的核心组件升级到版本 1.1 SP1 的过程中,updateCore.bat 文件包含错误的硬编码管理服务器引用。因此,无法成功完成升级过程。

要解决此问题,请替换升级脚本中的两个管理服务器引用实例。

在升级脚本的第 51 行和第 95 行替换以下指令。按如下方式更改行。

net stop "Sun Java(TM) System Administration Server 5.2"

此行应显示为:

net stop admin52-serv

进行指定更改后,请重新运行升级脚本。

6388872

对于目录服务器到 Active Directory 的 Windows 创建表达式,流 cn=%cn% 同时适用于用户和组。对于任何其他组合,Identity Synchronization for Windows 都会在同步过程中显示错误。

6332183

如果添加操作先于删除操作从目录服务器流向 Active Directory,Identity Synchronization for Windows 可能会记录异常,指出该用户已经存在。在同步过程中,如果添加操作先于删除操作执行,则可能会发生竞争情形,从而导致 Active Directory 记录异常。

例如,如果将用户 dn: user1, ou=isw_data 添加到现有的组 dn: DSGroup1,ou=isw_data,则从该组中删除此用户时,会修改该组的 uniquemember。如果将同一用户添加到具有相同 DN 的组 (for userdn: user1, ou=isw_data),则会执行添加操作。此时,Identity Synchronization for Windows 可能会记录异常,指出该用户已经存在。

6444341

Identity Synchronization for Windows 卸载程序未本地化。无法将 WPSyncResources_X.properties 文件安装到 /opt/sun/isw/locale/resources 目录中。

要解决此问题,请从 installer/locale/resources 目录中手动复制缺少的 WPSyncResources_X.properties 文件。

6444878

在运行管理服务器之前安装和设置 Java Development Kit 1.5.0_06。

6444896

在执行基于文本的 Identity Synchronization for Windows 安装时,将管理员密码留空并按回车键将导致退出安装程序。

6452538

在 Windows 平台上,Identity Synchronization for Windows 所用的 Message Queue 3.5 要求 PATH 值的长度小于 1 KB。较长的值将被截断。

6486505

在 Windows 上,Identity Synchronization for Windows 只支持英语和日语语言环境。

6477567

在 Directory Server Enterprise Edition 6.3 中,Identity Synchronization for Windows 的目录服务器插件是随目录服务器一起安装的。Identity Synchronization for Windows 安装程序不会安装目录服务器插件。Identity Synchronization for Windows 只配置插件。

在此版本的 Identity Synchronization for Windows 中,基于文本的安装程序不会在安装过程中提示您对 Identity Synchronization for Windows 的目录服务器插件进行配置。要解决此问题,可于 Identity Synchronization for Windows 安装完成后在终端窗口中运行 Idsync dspluginconfig 命令。

6472296

在 Windows 系统上的日语语言环境下安装 Identity Synchronization for Windows 后,Identity Synchronization for Windows 用户界面未完全本地化。

要解决此问题,请在开始安装前使 PATH 环境变量包含 unzip.exe

6485333

Windows 系统上的安装程序和卸载程序未国际化。

6492125

在简体中文、繁体中文以及韩文语言环境下,Identity Synchronization for Windows 联机帮助内容显示方框而非多字节字符。

6501874

将目录服务器密码兼容模式 pwd-compat-mode 设置为 DS6-migration-modeDS6-mode 时,无法执行目录服务器到 Active Directory 的帐户锁定同步。

6501886

更改 Active Directory 域管理员密码时,Identity Synchronization for Windows 控制台显示警告。显示的警告为主机 hostname.domainnname 的证书无效,即时使用的密码有效时也是如此。

6529349

在 Solaris SPARC 上,由于没有 /usr/share/lib/mps//jss4.jar 文件,Identity Synchronization for Windows 可能无法卸载。仅在产品安装期间,安装程序检测到已安装的 SUNWjss 软件包实例并且未更新该实例时,才会发生这种情况。

要解决此问题,在安装产品时,请在 Java 类路径中添加 /usr/share/lib/mps/secv1/jss4.jar


$JAVA_EXEC -Djava.library.path=./lib \
-classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\
${SUNWjss}/usr/share/lib/mps/jss4.jar:\
${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\
./lib/ldap.jar:./lib/webstart.jar:\
${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\
./resources:./locale/resources:./lib/common.jar:\
./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \
-Djava.util.logging.config.file=./resources/Log.properties \
-Djava.util.logging.config.file=../resources/Log.properties \
-Dcom.sun.directory.wps.logging.redirectStderr=false \
-Dcom.sun.directory.wps.logging.redirectStdout=false \
uninstall_ISW_Installer $1
6572575

要使组同步能够在 resync 过程中成功完成,用户和组应位于同步范围内的相同级别。否则,它将显示错误。