一般的なトラブルシューティングのガイドライン
ここでは、Identity Synchronization for Windows に関する問題のトラブルシューティングに役立つ一般的なガイドラインを示します。この章は、次の各節で構成されています。
注 –
問題のトラブルシューティングを始める前に、リリースノートで既知の問題についての説明とパッチ要件に関する情報を必ず確認してください。
ログの設定と使用
イベントによっては、ログレベルを調整して FINE 以上にするまでは、ログファイルに記録されません。ログレベルを調整するには、『Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide - Ja』の「Configuring Your Log Files」を参照してください。idsync resync 操作の最中は必ずログレベルを INFO のままにしてください。
問題をトラブルシューティングするときは、次のディレクトリにある セントラルエラーログを調べます。
isw-hostname/logs/central/error.log |
ほとんどすべてのエラーがセントラルエラーログファイルで報告されます。エラーに関するその他の情報は、audit.log ファイルに含まれている場合があります。関係のあるログエントリ間の相関関係を単純化するため、audit.log ファイルにはエラーログにある情報も含まれます。
Windows NT SAM 変更検出サブコンポーネントが有効な場合は、次のように NT 監査ログを有効にする必要があります。
-
「スタート」メニューから「プログラム」、「管理ツール」、「ユーザー マネージャ」の順に選択します。
-
「ポリシー」、「監査ポリシー」の順に選択します。
-
「監査するイベント」を選択し、「ユーザーとグループの管理」の「成功」および「失敗」チェックボックスにチェックマークを付けます。
-
イベントビューアの「イベントログのラップ」メニューで「イベントログの設定」を選択します。次に、「必要に応じてイベントを上書きする」を選択します。
idsync printstat コマンドの使用
idsync printstat コマンドでは、各コネクタのコネクタ ID と状態が表示されます。この出力には、インストールプロセスと設定プロセスを完了するために実行する必要のある残りの手順の一覧も表示されます。この状態情報は、Identity Synchronization for Windows に関する問題のトラブルシューティングに利用できます。
たとえば、このコマンドを次のように実行します。
# idsync printstat Connector ID: CNN100 Type: Active Directory Manages: example.com (ldaps://host2.example.com:636) State: READY Connector ID: CNN101 Type: Sun Java System Directory Manages: dc=example,dc=com (ldap://host1.example.com:389) State: READY Sun Java System Message Queue Status: Started Checking the System Manager status over the Sun Java System Message Queue. System Manager Status: Started SUCCESS |
コマンドによりコネクタが一覧表示された場合、設定は正常に保存されています。
トラブルシューティングのクイックチェックリスト
このチェックリストには、トラブルシューティングのプロセスで役立つ確認事項が含まれています。
-
リソースの設定中に Directory Server は実行中でしたか。
-
Message Queue や System Manager などのコアは現在実行中ですか 。Windows の場合は、適切なサービス名を確認します。Solaris および Linux の場合は、適切なデーモン名を確認します。idsync printstat コマンドを使用して、Message Queue と System Manager がアクティブであることを確認します。
-
同期は Identity Synchronization for Windows コンソールから開始しましたか、それともコマンド行から開始しましたか。
-
同期させるディレクトリソースは現在実行中ですか 。
-
Identity Synchronization for Windows コンソールを使用して、変更と作成が正しい方向に同期されることを確認します。
-
1 つのディレクトリソースのみに存在していたユーザーとグループを同期中だった場合、idsync resync コマンドを使用してこれらのユーザーとグループをほかのディレクトリソースに作成しましたか。
注 –idsync resync を実行して、ユーザーとグループが存在しているかどうかを確認する必要があります。既存のユーザーを再同期しない場合、再同期の動作は未定義のままになります。
-
両方のディレクトリソースに存在していたユーザーを同期中だった場合、idsync resync コマンドを使用してこれらのユーザーをリンクしましたか。
-
Active Directory または Windows NT から Sun Java System Directory Server へのユーザーの作成が失敗した場合は、Directory Server オブジェクトクラス内のすべての必須属性が作成属性として指定されていて、対応する属性の値が元のユーザーエントリに指定されていることを確認します。
-
Directory Server から Windows NT に作成を同期中で、ユーザーの作成は成功したがアカウントを使用できない場合は、ユーザー名が Windows NT 要件に違反していないか確認します。
たとえば、Windows NT で許容される長さの最大値を超える名前を指定すると、ユーザーは NT 上に作成されますが、ユーザーの名前を変更 (「ユーザー」->「名前の変更」) するまで使用または編集することはできません。
-
同期に失敗するユーザーは、同期ユーザーリストに指定されていますか 。たとえば、それらのユーザーは、同期ユーザーリストのベース DN およびフィルタと一致しますか。Active Directory が含まれる配備では、Sun Java System Directory Server エントリが同期ユーザーリストに指定されていない場合、オンデマンドのパスワード同期は警告なしで失敗します。ほとんどの場合、この問題は同期ユーザーリストのフィルタが正しくないために発生します。
-
同期設定が変更されていませんか。Active Directory から Sun Java System Directory Server へのユーザーの同期から、Directory Server から Active Directory へのユーザーの同期に同期設定を変更した場合は、コネクタの証明書データベースに Active Directory SSL CA 証明書を追加する必要があります。idsync certinfo コマンドを実行すると、現在の SSL 設定に基づいてインストールする必要がある SSL 証明書が示されます。
-
すべてのホスト名は適切に指定され、DNS で解決可能ですか。Active Directory ドメインコントローラは、Active Directory コネクタが稼働しているマシンと Sun Java System Directory Server プラグインが稼働しているマシンから、DNS で解決可能にしてください。
-
Active Directory ドメインコントローラの IP アドレスは、コネクタがコントローラに接続するために使用するものと同じ名前に解決されますか。
-
複数の同期ユーザーリストが設定されていませんか。設定されている場合、それらが競合していませんか。コンソールを使用して、詳細度がより高い同期ユーザーリストの順序を、詳細度が低い同期ユーザーリストより先にします。
-
フローを双方向、または Sun から Windows に設定し、配備に Active Directory データソースが含まれる場合、コネクタは SSL 通信を使用するように設定されていますか。
-
Sun Java System ディレクトリソースを作成または編集中に、Directory Server の「既知のサーバーの選択」ドロップダウンリストが表示されない場合は、その Directory Server が稼働していることを確認します。使用可能なホストのドロップダウンリストに表示される Directory Server は、稼働している必要があります。
該当するサーバーが一時的にダウンしている場合は、「ホスト名とポートを入力してサーバーを指定」フィールドにホスト名とポートを入力します。
注 –Identity Synchronization for Windows は、デフォルトでは短いホスト名を使用しますが、デフォルトのホスト名はこの設定では機能しない場合があります。ホスト名を指定するときは、常に完全修飾名を使用することをお勧めします。
Identity Synchronization for Windows インストールに関する問題のトラブルシューティング
インストールがクリーンなマシン上で行われたことを確認します。再インストールを行い、前回のインストールが適切にアンインストールされていない場合は、エラーが発生することがあります。Identity Synchronization for Windows のアンインストールの詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide - Ja』の第 9 章「Removing the Software」を参照してください。
コアが正しくインストールされたかどうかについては、次のディレクトリ内のログファイルを確認してください。
isw-hostname/logs/central/ |
コネクタのインストールに失敗したが、Identity Synchronization for Windows インストールプログラムではコネクタがインストールされているものと見なされる場合、インストールプログラムでコネクタを再インストールすることはできません。
コネクタの状態を UNINSTALLED にリセットするには、idsync resetconn コマンドを実行します。次に、コネクタを再インストールします。
ソフトウェアのアンインストール中に次のエラーが表示される場合は、/tmp にマウントされているスワップファイルのサイズを大きくする必要があります。
./runInstaller.sh IOException while making /tmp/SolarisNativeToolkit_5.5.1_1 executable:java.io.IOException: Not enough space java.io.IOException: Not enough space |
インストール後、サブコンポーネントのすべてがインストールされていることを確認します。Directory Server と Windows NT コネクタでは、コネクタのインストール後にサブコンポーネントがインストールされる必要があります。Directory Server プラグインは、Directory Server の各レプリカにインストールする必要があります。
Directory Server は、Directory Server プラグインのインストール後に再起動する必要があります。Windows NT プライマリドメインコントローラは、Windows NT サブコンポーネントのインストール後に再起動する必要があります。
- © 2010, Oracle Corporation and/or its affiliates