Sun Java System Identity Synchronization for Windows 1 2004Q3 版本說明

Sun Java™ System Identity Synchronization for Windows 版本說明

1 2004Q3 版

文件號碼 817-7856

這些版本說明包含 Sun Java™ System Identity Synchronization for Windows 1 2004Q3 發行時可取得的重要資訊。本文件內容包括新功能和增強功能、已知的限制和問題、技術說明和其他資訊。請在您開始使用 Sun Java System Identity Synchronization for Windows 1 2004Q3 (Identity Synchronization for Windows) 前詳讀本文件。

本版本說明包含下列小節:

本文件中引用了一些協力廠商 URL,提供額外的相關資訊。

附註

Sun 不負責本文件中提及之協力廠商網站的可用性。Sun 對在 (或透過) 此類網站或資源取得的任何內容、廣告、產品或其他材料不做保證且不負有法律責任。Sun 對使用或相信在 (或透過) 此類網站或資源取得的任何內容、商品或服務而導致的實際的或可能的損害或損失,或與此類使用或相信有關的任何實際的或可能的損害或損失不負有法律責任。

修訂歷程記錄

表格 1  修訂歷程記錄

日期

變更說明

2004 年9 月 30 日

第一版「版本說明」。

關於 Identity Synchronization for Windows 1 2004Q3

Identity Synchronization for Windows 提供下列目錄之間的雙向密碼同步化功能:

同步化 Sun Java System Directory Server (下稱 Directory Server) 與 Windows 2000/2003 Active Directory 時,您可以在 Solaris 作業系統與 Windows 2000 Server 作業系統環境下安裝並執行所有 Identity Synchronization for Windows 元件。同步化 Directory Server 與 Windows NT 時,您必須在 Windows NT 環境下執行 Windows NT 元件。

本節包括下列內容:

本版本的新增功能

新增功能

Identity Synchronization for Windows 1 2004Q3 中的新增功能包括:

產品變更

1 2004Q3 版本中的產品變更說明如下:

效能增強

同步化效能已經大幅提昇。

文件變更

產品與文件品牌再造:Sun Java System Identity Synchronization for Windows 產品與產品文件的品牌已經從 Sun ONE Identity Synchronization for Windows 更換為 Sun Java System Identity Synchronization for Windows。

硬體與軟體需求

作業系統需求

下表說明這個版本的 Identity Synchronization for Windows 對作業系統的需求:

表格 2  Solaris 需求

元件

Solaris 需求

核心元件

UltraSPARC 所用的 Solaris 8® (32 位元與 64 位元)
Solaris 9 SPARC® Platform Edition (32 位元與 64 位元)
Solaris 9 作業系統 (Pentium II 或更高效能系統所用的 x86 平台版) IA-32

Sun Java System Directory Server 和 Windows Active Directory 所用的連接器

UltraSPARC 所用的 Solaris 8 (32 位元與 64 位元)
SPARC 平台所用的 Solaris 9 (32 位元與 64 位元)
Solaris 9 作業系統 (Pentium II 或更高效能系統所用的 x86 平台版) IA-32

Sun Java System Directory Server 外掛程式

UltraSPARC 所用的 Solaris 8 (32 位元與 64 位元)
SPARC 平台所用的 Solaris 9 (32 位元與 64 位元)
Solaris 9 作業系統 (Pentium II 或更高效能系統所用的 x86 平台版) IA-32

表格 3  Windows 需求 

元件

Windows 需求

核心程式

Windows 2000 Server SP4
Windows 2000 Advanced Server SP4
Windows Server 2003 標準版或企業版

Sun Java System Directory Server 和 Windows Active Directory 所用的連接器

Windows 2000 Server SP4
Windows 2000 Advanced Server SP 4
Windows Server 2003 標準版或企業版

Sun Java System Directory Server 外掛程式

Windows 2000 Server SP4
Windows 2000 Advanced Server SP 4
Windows Server 2003 標準版或企業版

NT 連接器與外掛程式 (子元件)

Windows Primary Domain Controller NT 4.0 Server SP 6A
(僅適用於 x86)

使用 Windows Server 2003 標準版與企業版上的 Active Directory 進行同步化

Windows Server 2003 標準版 (備有最新的安全性功能更新)
Windows Server 2003 企業版 (備有最新的安全性功能更新)

硬體需求

您的硬體 (所有平台) 必須符合下列最低需求,才能執行 Identity Synchronization for Windows:

Sun Java System 軟體需求

若要執行 Identity Synchronization for Windows,您必須安裝下列 Sun Java System 軟體元件:

此版本中修正的錯誤

下表說明在 Identity Synchronization for Windows 1 2004Q3 中已經修正的錯誤:

表格 4  在 Identity Synchronization for Windows 1 2004Q3 中已修正的錯誤 

錯誤編號

說明

安裝/解除安裝

4881466

在 7676 以外的通訊埠上以現有的 Message Queue 實例來安裝核心元件時失敗。

4829497

解除安裝程式不會移除所有檔案和資料夾。

4820869

在 Windows 上重新安裝核心元件之前,必須先重新啟動系統。

4916789

在同一個 Server_Root 上安裝多個副本會產生重複的 Directory Server 外掛程式 ID。

5035406

在 Solaris 系統的電腦上安裝核心元件時,如果使用 JRE 而不使用 JDK,安裝就會失敗。

4880807

runInstaller.shrunUninstaller.sh 不支援 -nodisplay 選項。

5030928

安裝程式不支援主要主機和防故障備用主機使用不同的憑證。

5037157

解除安裝程序檔沒有在「僅 DS 外掛程式」安裝之後出現。

5050554

在「-nodisplay」模式下啟動安裝程式需要一個獨立的顯示器。

4915192

無法在僅使用 SSL 的 Directory Server 上安裝連接器。

5052509

文字型態的解除安裝程序檔不會移除所有與 Identity Synchronization 相關的套件。

4937341

使用 Windows 系統上的「新增/移除」選項無法解除安裝 Identity Synchronization for Windows。

5056685

NT 外掛解除安裝程式未移除密碼篩選器 DLL (必須將其移除,這樣 Windows 才不會在啟動時載入 DLL,確保 DLL 已被刪除)。這會在重新安裝元件期間造成問題。

4988901

按一下「上一步」按鈕時,安裝程式的某些畫面無法顯示正確的畫面。

5030567

安裝 NT 連接器時,安裝程式未正確顯示提示文字,提示已經安裝 NT 連接器的所有子元件。

5036330

安裝過程中,如果修改了「為管理網域輸入某個描述性的唯一名稱...」欄位中描述性文字的預設值,安裝作業就會失敗。

5041518

安裝子元件時如按一下「上一步」按鈕,「連接器通訊埠」畫面會錯誤地顯示。

5048953/5049733

當 JAVA_HOME 值包含引號時,解除安裝作業失敗。

5050691

安裝核心元件時,MQ 配置視窗顯示與系統中所安裝 MQ 版本相關的錯誤訊息。它顯示為「空值」。

5057716

雖然成功地解除安裝了外掛程式,但 Directory Server 外掛程式套裝軟體與其登錄項目均未從系統中移除。

5071574

Directory Server 連接器不接受有效的通訊埠埠號 (65535)。

5079602

nt_dll_registrar 未強制將「通知套裝軟體」變成 REG_MULTI_SZ。

密碼同步化

4845844

Idsync resync 指令無法在同步化時從 Directory Server 建立 NT 上的使用者。

4937502

網路連線的中斷頻率過高時,連接器就會停止進行同步化。

4939825

Directory Server 連接器不會移除已修改之項目的迴圈偵測屬性。

4906752

在 Sun Directory Server 中建立使用者之後隨即執行的 modrdn 作業動作不會同步化。

4933861

如果使用合成屬性,則 NT 連接器會在「idsync resync -c -o Sun」動作之後啟動同步化時顯示多餘的活動。

4941200

重新命名後的使用者項目如果只有大小寫改變,則不會進行同步化。

4893525

當連至 Active Directory 伺服器的網路連線終止時,屬性修改也隨之遺失。

5019327

Directory Server 連接器會使用設為已同步化物件類別類型之子類別的物件類別來同步化使用者。

4995351

Identity Synchronization for Windows 對映於不正確的屬性。

5036025

修改 SUL 後嘗試同步化使用者造成 NullPointerException 錯誤 (回報在日誌檔案中),且連接器停止回應。

5054654

重設連接器或不慎關閉連接器時,對 NT 上密碼所作之變更遺失。

Sun Java System Message Queue

4881240

無法使用 Solaris 上安裝在使用者目錄下的現有 Message Queue。

一般錯誤

4943564/4939730

Userpassword 不是可選的屬性。

4994145

Directory Server 外掛程式測試與無法使用之主機的連線過於頻繁。

5041435

如果啟用「密碼歷程記錄」選項,隨需密碼更新會停止 Directory Server 回應。

4939859

如果來源連接器是 Windows NT,則 Idsync linkusers/resync 會忽略 LDAP 篩選器選項。

4987742

resync 因為有競爭情況,無法處理所有項目。

5048362

系統不會自動移除日誌訊息中的新行字元。

4925575

Active Directory 連接器安裝程式不檢查網域是否符合憑證網域。

4901486

Identity Synchronization for Window 1 2004Q3 之前不支援多個 Active Directory 群。

主控台一般錯誤

5040094

「objectclass=<some oc>」報告無效的篩選器錯誤。

5030704

無法從主控台修改 Active Directory 目錄來源的 resync 間隔。

5026929

無法指定必填建立屬性的預設值。

4941238

日誌檢視器不正確地剖析了日誌記錄。

5026198

「日誌」視窗中的編排錯誤已被修正。

5044529

主控台 prepds 不適用於僅使用 SSL 的 Directory Server。

5008697

當編輯 cn 對映而非更新現有的項目時,將另一個項目加入到清單中。

50134407

能夠使用與現有目錄來源相同的名稱建立目錄來源。不顯示任何錯誤訊息,也無法刪除該目錄來源。

5026198

「主控台」的「日誌」視窗中的編排錯誤已被修正。

5044529

主控台 prepds 不適用於僅使用 SSL 的 Directory Server。

5045350

修改現有的建立屬性時,無法將其值設為 <無>。

4921889

再次選取「檢視樹狀結構」選項時,「主控台」無法返回正常的樹狀結構檢視。

連接器

4988028

缺少的 usnchanged 屬性出現 Java Run Time 異常 (RTE)。

指令行公用程式

5015766

將空密碼傳遞至 idsync changepw,致使後續存取無法再存取配置登錄。

4986303

指令行介面無法提供 -h-p-D-s 選項的預設值。

5038195

當配置字尾無效時,resetconn 無法提供相應的錯誤訊息。

5019543

當配置字尾無效時,printstat 無法提供相應的錯誤訊息。

5024148

resetconn 無法刪除連接器 Message Queue 憑證。

4941125

當來源為 Sun 且已同步化合成屬性時,則 resync 更新非同步的使用者。

4939484

可能一直無法結束 linkusers 指令。

5015575

在指令提示符號處執行 "c" 指令時,CLI 作業並未停止。

5062028

使用 SSL 來安裝核心元件時,指令提示符號停止回應。(CLI 的通訊埠預設值為 SSL 通訊埠。)

重要資訊

本節包含核心產品文件中不包含的最新資訊。本節包括下列主題:

安裝注意事項

在安裝 Identity Synchronization for Windows 1 2004Q3 之前,請務必詳讀《Sun Java™ System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南》中的「準備安裝」章節。

使用 Windows 2003 Server

Windows 2003 Server 問題

Windows 2003 Server 的「使用者下次登入時必須變更密碼」行為不同於 Windows 2000。(4997513)

Windows 2003 預設設定了使用者下次登入時必須變更密碼旗標,Windows 2000 卻沒有。

如果您在 Windows 2000/2003 上建立使用者時設定了「使用者下次登入時必須變更密碼」旗標,則會在 Directory Server 上建立沒有密碼的使用者。使用者在下一次登入 Active Directory 中時,就會被迫變更他們的密碼,這樣會讓他們的 Directory Server 密碼失效,並在這些使用者下次接受 Directory Server 身份驗證時,強制執行隨需同步化。

除非使用者變更他們的 Active Directory 密碼,否則將無法執行 Directory Server 身份驗證。

相容性問題

使用某些「遠端主控台」產品來存取 Identity Synchronization for Windows 主控台時所發生的相容性問題。(5077227)

嘗試使用 PCAnywhere 10.x 或 Remote Administration2.1 來檢視 Identity Synchronization for Windows 主控台時,可能會發生問題。(不過,PCAnywhere 9.2 版不會產生錯誤。) 如果問題仍舊存在,請移除遠端管理軟體。也可以使用 VNC,目前已知它在顯示 Identity Synchronization for Windows 主控台時不會造成任何問題。

系統或應用程式失敗時執行資料還原

當硬體或應用程式失敗時,可能需要從某些同步化的目錄來源中的備份來還原資料。

不過,完成資料還原之後,必須執行額外程序以確保同步化可正常進行。

一般情況下,連接器會維護有關上一次變更的資訊,此資訊已被傳播至訊息佇列中。

此資料 (指連接器狀態) 可用來確定連接器必須從其目錄來源讀取的後續變更。如果同步化之目錄來源的資料庫已從某個備份被還原,則連接器狀態可能會失效。

以 Windows 為基礎的連接器 (Active Directory 或 Windows NT) 也會維護一個內部資料庫。此資料庫是已同步化資料來源的副本,可用來確定所連接的資料來源中已發生的變更。顯而易見地,一旦從備份還原了連接的 Active Directory 來源或 Windows NT 系統,內部資料庫將會失效。

一般而言,使用 idsync resync 指令可重新填入已修復的資料來源。

附註

重新同步化無法用來同步化密碼,但存在一種例外情況。如果重新同步化的資料來源是 Windows (而且 SUL 清單只包含 Active Directory 系統),則可使用 -i ALL_USERS 選項以使 Sun Java Systems Directory Server 系統中的密碼失效。

不過,並非在任何情況下都可以選擇使用 idsync resync

注意

執行以下詳述的任何步驟之前,請確定同步化已停止。

雙向同步化

建議的程序是使用 idsync resync 指令,設定相應的修飾鍵值 (根據同步化設定)。resync 作業的目標應為還原的目錄來源。

單向同步化

如果還原的資料來源是同步化目標,則可按照雙向同步化的相應程序執行操作。

如果修復的資料來源是同步化來源,則仍可使用 idsync resync 來重新填入已修復的資料來源。不需要變更 Identity Synchronization for Windows 配置中的同步化傳遞設定,idsync resync 可讓您使用 -o <Windows|Sun> 選項獨立於已配置好的流程來設定同步化傳遞。

可將下列假定情況作為參照範例:

在 Sun Java Systems Directory Server 和 Active Directory 之間設定雙向同步化

目錄來源專用的還原程序

Microsoft Active Directory

如果可從備份還原 Active Directory,則請按照雙向或單向同步化小節中所說明的程序來進行操作。

不過,如果發生重大故障,可能必須使用其他的網域控制器。在這種情況下,請按照下列步驟來更新 Active Directory 連接器的配置:

  1. 啟動 Identity Synchronization for Windows 管理主控台。
  2. 選取「配置」標籤。
  3. 展開「目錄來源」節點。
  4. 選取相應的 Active Directory 來源。
  5. 按一下「編輯控制器...」
  6. 選取新的網域控制器。

    7. 建議您將選定的網域控制器作為網域的 NT PDC FSMO 角色所有者

  7. 儲存配置。
  8. 停止正在執行 Active Directory 連接器之主機上的 Identity Synchronization 服務。
  9. 刪除 <serverroot>/isw-<hostname>/persist/ADPxxx 下的所有檔案 (不是目錄),其中 xxx 是 Active Directory 連接器識別碼的號碼部分 (例如,如果 Active Directory 連接器識別碼是 CNN100,則此值為 100)。
  10. 啟動正在執行 Active Directory 連接器之主機上的 Identity Synchronization 服務。
  11. 根據您的同步化傳遞方向,執行單向或雙向同步化小節中所說明的步驟。

Sun Java System Directory Server

重大故障會影響 Retro Changelog 資料庫或具有同步化使用者的資料庫 (或同時影響兩者)。

  1. Retro-Changelog 資料庫。

    2. Retro- Changelog 資料庫中可能存在一些 Directory Server 連接器無法處理的變更。只有在備份中包含某些未處理的變更時,才需要還原 Retro Changelog 資料庫。將 <serverroot>/isw-<hostname>/ADPxxx/accessor.state 檔案中最新的項目與備份中最後的變更序號加以比較,即可達到此目的。如果 accessor.state 中的值大於或等於備份中的變更序號,則不必還原該資料庫,但應重建該資料庫。

    重建 Retro-Changelog 資料庫之後,請務必執行 idsync prepds,或是在 Identity Synchronization for Windows 管理主控台中按一下「Sun Directory 來源」視窗內的「備妥 Directory Server」。

    Directory Server 連接器將會偵測出 Retro-Changelog 資料庫已被重建,並記錄一則警告訊息。您可放心忽略此訊息。

  2. 同步化的資料庫。

    3. 如果同步化的資料庫無可用的備份,則必須重新安裝 Directory Server 連接器。

    如果可從備份還原同步化的資料庫,則請按照雙向或單向同步化小節中所說明的程序來進行操作。

Identity Synchronization for Windows 1 2004Q3 的文件更新

您可透過瀏覽器來存取 Identity Synchronization for Windows 線上文件檔案。您還可以下載 HTML 格式的整份文件集。

下載此檔案之後,將其解壓縮至下列位置:

<ServerRoot>/manual/en/isw

ServerRoot 是指 Sun Java System Administration Server 的位置。實際的 ServerRoot 路徑視您的平台、安裝與配置而定。ServerRoot 目錄中包含 startconsole 程式。

然後您就可以直接從 <ServerRoot>/manual/en/isw/index.html 存取該文件集,或是選取「說明」功能表中的「文件首頁」,從「伺服器主控台」中存取該文件集。

在設有防火牆的環境下執行 Identity Synchronization for Windows

您可在設有防火牆的環境下執行 Identity Synchronization for Windows。本節說明您必須透過防火牆來開放哪些伺服器通訊埠,內容如下:

Message Queue 需求

依照預設,Message Queue 的所有服務都使用動態通訊埠,但它本身的通訊埠對映器除外。若要透過防火牆存取 Message Queue 代理程式,該代理程式的所有服務都應使用固定的通訊埠。

安裝核心元件之後,必須設定 imq.<服務名稱>.<通訊協定類型>.port 代理程式配置屬性。您尤其必須設定 imq.ssljms.tls.port 選項。請參閱《Sun Java™ System Message Queue Administrator’s Guide》以獲得詳細資訊。

安裝程式需求

Identity Synchronization for Windows 安裝程式必須能夠與作為配置目錄的 Directory Server 進行通訊。

核心元件需求

Message Queue、系統管理員和指令行介面必須能夠與儲存 Identity Synchronization for Windows 配置的 Directory Server 連線。

主控台需求

Identity Synchronization for Windows 主控台必須能夠與下列主體連線:

連接器需求

所有的連接器都必須能夠與 Message Queue 進行通訊。此外:

Directory Server 外掛程式需求

各個 Directory Server 外掛程式都必須能夠與 Directory Server 連接器的伺服器通訊埠連線,這些伺服器通訊埠是在安裝連接器時所選定的。執行於 Directory Server 主副本中的外掛程式必須能夠與 Active Directory 的 LDAP (通訊埠 389) 或 LDAPS (通訊埠 636) 連線。執行於其他 Directory Server 副本中的外掛程式必須能夠與主要 Directory Server LDAP 或 LDAPS 通訊埠連線。

已知的問題和限制

本節列出 Identity Synchronization for Windows 1 2004Q3 的各個已知問題。內容涵蓋下列產品範圍:

安裝與解除安裝

手動移除產品登錄機碼的說明。(5050004)

如果需要從產品登錄機碼中移除對 Identity Synchronization for Windows 的參照,請使用Identity Synchronization for Windows 安裝與配置指南》第 7 章〈解除安裝失敗時之處理〉中〈Windows NT 與 Windows 2000 平台〉一節所描述之程序。

如果將核心元件安裝在名稱當中有空格的目錄下,Solaris 程序檔將無法執行。(4801643)

如果將 Identity Synchronization for Windows 核心元件安裝在路徑名稱中帶有空格的目錄下,Solaris 上的指令行程式檔將無法執行。

如果「基本 DN」中包含空格,則 Message Queue 代理程式無法啟動。(4892332 和 4892490)

請勿將核心元件安裝在包含空格的字尾上,否則 Message Queue 代理程式將無法進行身份驗證。

以現有 Message Queue 實例來安裝核心元件的副作用。(4882194)

以現有 Message Queue 代理程式實例來安裝核心元件可能會影響現有的實例。
例如,現有的配置將會作如下修改:

Message Queue 代理程式最少需要 512MB 的記憶體。(4819519)

Message Queue 代理程式最少需要 512 MB 的記憶體。因為代理程式被安裝為核心元件的一部分,所以安裝有核心元件的電腦應至少有 1GB 的 RAM。

如果多 Directory Server 實例的安裝移除了解除安裝程式,就無法解除安裝外掛程式。(4916035)

如果兩個 Directory Server 實例的檔案系統安裝根目錄相同 (例如,/usr/sunone/servers/slapd-foxhead/usr/sunone/servers/slapd-foxhead2),則您無法解除安裝多個外掛程式。

解決方法

1. 開啟 Directory Server 主控台 (用於安裝有外掛程式的 Directory Server)。

2. 按一下「配置」標籤。

3. 連按兩下 Plugins 資料夾展開外掛程式樹狀結構。

4. 按一下 pswsync 並取消核取「啟用外掛程式」核取方塊。

5. 重新啟動 Directory Server。

如果在安裝完成前取消安裝,然後嘗試再次重新安裝,Active Directory 連接器會出現不可確定的行為。(5038905)

如果安裝程式在配置連接器時被取消,然後再次執行安裝程式時,將無法使用連接器選項。

解決方法
從指令行提示符號處執行 idsync resetconn,重設連接器的配置,然後重新執行安裝程式或重新安裝連接器。有關執行 idsync resetconn 指令的詳情,請參閱Sun Java System Identity Synchronization for Windows 安裝與配置指南》

解除安裝產品時,未移除產品附屬的登錄機碼。(5045237)

執行核心元件的解除安裝之後,並沒有移除產品登錄檔案中的 Sun Java System Identity Synchronization for Windows 相關節點。為了順利解除安裝本產品,您必須從產品登錄機碼中手動移除節點。有關移除這些產品登錄機碼的詳情,請參閱Identity Synchronization for Windows 安裝與配置指南》。這種情況只會在 Solaris 8 系統中發生。

當核心元件已經解除安裝,卻未連接配置登錄時,主控台中就會顯示 Identity Synchronization for Windows 相關參照。(5049700)

執行完 Identity Synchronization for Windows 的隨機式解除安裝 (未與配置登錄連接) 後啟動「主控台」時,會顯示錯誤訊息。

記錄了安裝日誌的「temp」目錄可能是隱藏目錄。(5051905)

某些 Window 系統中 C:\ Documents and Settings > Administrator > Local Settings 下的資料夾可能是隱藏資料夾。

解決方法
若要檢視 Local Setting 資料夾和 Temp 子資料夾,應選取 Windows 檔案總管中的顯示隱藏檔案選項。或者,在指令提示符號處鍵入 cd %TEMPcd %TMP 以檢視目錄中與安裝相關的日誌檔案。然後就可以使用「記事本」來檢視日誌。

如果根字尾包含空格,Message Queue 代理程式的身份驗證就會失敗。(4892903)

由於 Message Queue 本身的限制,Identity Synchronization for Windows 配置必須儲存在沒有任何空格的根字尾中。

解決方法
安裝「核心元件」前先建立新的根字尾來儲存 Identity Synchronization for Windows 配置。

Directory Server 外掛程式安裝失敗之後,「待辦事項」清單中會顯示外掛程式的安裝已完成。(5081912)

在某些情況下,即使 Directory Server 外掛程式的安裝實際上已失敗,「待辦事項」清單中還是會顯示 Directory Server 外掛程式已經安裝。

解除安裝連接器時,解除安裝程式不會準確顯示它將還原的磁碟空間。(5081823)

解除安裝連接器時,解除安裝程式會不正確地顯示 0 位元組 (作為解除安裝程序完成之後它將還原的位元組數)。檢視磁碟空間的內容時,實際還原的磁碟空間大小不會為零。

安裝程式不會強制您在 Directory Server 外掛程式安裝目錄所在的目錄下安裝元件。(5080178)

如果 Directory Server 外掛程式是電腦上安裝的第一個元件,則該台電腦上的所有後續元件都必須安裝在同一個 (Directory Server 外掛程式的) 安裝目錄下。不過,安裝程式在安裝期間不會強制套用此準則。

解除安裝元件時,解除安裝程式可能會顯示不正確的資訊。(5079489)

當從未安裝核心元件的電腦上解除安裝連接器時,安裝程式會錯誤地報告它正在解除安裝核心元件。您可忽略此訊息。

如果在配置目錄並不存在的情況下執行解除安裝程序,不會移除 Identity Synchronization for Windows 主控台參照。(5077156)

如果選取的選項是解除安裝本產品而不解除安裝配置目錄,則 Sun Server 主控台會保留所有對 Identity Synchronization for Windows 主控台的參照。解除安裝本產品之後,Identity Synchronization for Windows 的圖示將繼續留在拓樸樹狀結構中。嘗試顯示主控台時發生錯誤。有關移除主控台參照的詳細資訊,請參閱Identity Synchronization for Windows 安裝與配置指南》第八章的〈手動解除安裝主控台〉一節。

解除安裝並不會移除 "server-root/isw-*/lib" 目錄和 jar 檔案。(5038284)

解除安裝作業不會移除包含 *.jar 檔案的 lib 目錄。必須手動移除這些檔案和目錄。

當安裝作業被取消,然後再重新安裝時,Active Directory 連接器出現不確定行為。(5038905)

安裝 Active Directory 連接器時,如果突然取消安裝作業,然後再嘗試重新安裝連接器,Active Directory 連接器會顯示「已安裝」的不正確狀態。此狀態不會改變,並且同步化作業也不會執行,同時也無法重新安裝 Active Directory 連接器 (嘗試重裝連接器時)。

解決方法
必須執行 idsync resetconn 指令才能重新安裝連接器。有關執行 idsync resetconn 指令的詳情,請參閱《Identity Synchronization for Windows 安裝與配置手冊》

在隨 Sun Java Enterprise System 3 一起安裝的 Directory Server 5.2p3 上安裝 Identity Synchronization for Window 時失敗。(5092530)

您無法在 Directory Server 5.2 P3 或更新版本的系統上安裝核心 Identity Synchronization for Windows 產品。Identity Synchronization for Windows 1 2004Q3 僅支援將 Sun Java Enterprise System 3 (Directory Server 5.2 P3) 作為資料同步化來源。

安裝清單提示在輔助伺服器上安裝 Directory Server 外掛程式,即使在安裝了該外掛程式後仍是如此。(5096593)

「待辦事項」清單通常是準確無誤的,但有時它還是無法呈報有求執行的步驟,也無法確定某些步驟已經執行過。例如,它不見得總是能夠顯示哪些 Directory Server 外掛程式已經安裝或需要安裝。

在 FAT32 系統上安裝 Identity Synchronization for Windows 時,沒有產生存取控制清單 (ACL)。(5097751)

將 Identity Synchronization for Windows 安裝在以 FAT32 格式化的磁碟中之後,當您檢查 ACL 中的資料夾與檔案時,發現 ACL 並不存在。建議您不要在非 NTFS 格式的分割區中進行安裝。

使用 Directory Server 壓縮保存檔版本時,只解除安裝外掛程式的作業可能失敗。(5101589)

嘗試執行只解除安裝外掛程式的作業時,如果使用 Directory Server 的壓縮保存檔套件,則該作業失敗。

系統提示輸入使用者名稱時,如果使用多位元組的管理員名稱,則安裝作業會失敗。(5109332)

安裝核心元件時,如果在系統提示時輸入了多位元組的 LDAP 管理員名稱,安裝作業會失敗。顯示錯誤訊息「安裝程式無法上傳綱目檔案 /var/opt/isw/SUNWisw/misc/40so-psw.out.ldif。請檢查安裝程式的日誌檔案以取得進一步資訊」。安裝程序中斷,對話方塊視窗也會突然消失。

解決方法
請確保您使用的是安裝作業預設的 "admin" LDAP 管理名稱,以避免發生此問題。如果之前的安裝失敗,請使用預設的 admin 名稱來重新啟動安裝程式並重新安裝核心元件。可能會顯示訊息「在您的電腦上發現核心元件檔案」。您可安心略過此訊息。可繼續執行其餘的安裝作業。

連接器與外掛程式

刪除現有的項目會啟動 NT 連接器同步化。(4864009)

以現有 Windows 使用者 (Active Directory 或 NT) 進行的安裝必須在啟動同步化前先執行 idsync resync 指令,才能避免非定義的行為 (例如隨時使現有 Windows 使用者與 Directory Server 同步化) 發生。

如果,連接器處於非作用中狀態,請重新啟動連接器。(4938309)

如果中央錯誤日誌報告的訊息類似「連接器 [CNN100] 10 分鐘無回應」,您可能必須停止然後重新啟動正在執行連接器的 Identity Synchronization for Windows 常駐程式/服務。

解決方法

啟用 Directory Server 外掛程式的「安全資料傳輸層」之後,重新啟動 Directory Server。(4944804)

您必須在啟用 Directory Server 外掛程式 (子元件) 的「安全資料傳輸層」(SSL) 之後,重新啟動 Directory Server,然後將 Active Directory CA 憑證加入 Directory Server 的憑證資料庫中,否則 OnDemand 同步化將無法對 Active Directory 密碼已經變更的使用者進行身份驗證 (請參閱範例日誌訊息)。

如果 Active Directory 搜尋逾時,管理員應增加搜尋的限制時間。(4881182)

如果 Active Directory 錯誤日誌報告「連接器超出時間限制」的錯誤,請在 Windows 2000 資源套件中使用 ntdsutil,以如下方式將搜尋逾時時間增加到最長時間:

C:dif>ntdsutil
ntdsutil:ldap policies
ldap policy:connections
server connections:set creds example.sun.com administrator password
server connections:connect to server matar
Binding to matar as user(administrator) in domain(example.sun.com) ...
Connected to matar as user(administrator) in domain(example.sun.com) ...

server connections:quit
ldap policy:show values

Policy

Current(New)

MaxPoolThreads

4

MaxDatagramRecv

1024

MaxReceiveBuffer

10485760

InitRecvTimeout

120

MaxConnections

5000

MaxConnIdleTime

900

MaxActiveQueries

20

MaxPageSize

1000

MaxQueryDuration

120

MaxTempTableSize

10000

MaxResultSetSize

262144

MaxNotificationPerConn

5

ldap policy:Set InitRecvTimeout to 2400

ldap policy:Commit Changes

Sun Java System Directory Server 將不會處理未使用 ;binary 子類型建立的二進位值屬性。(5029226)

某些屬性 (例如 userCertificate) 需要在建立實例時使用 ;binary 選項。Identity Synchronization for Windows 可同步化這類屬性的值,但不會在建立實例時設定 ;binary 選項。這樣可能會造成用戶端與 Sun Java System Directory Server 之間的通訊問題。如果建立屬性時沒有使用二進位選項,而用戶端請求使用二進位選項的屬性,則 Sun Java System Directory Server 不會傳回這樣的屬性。

Identity Synchronization for Windows 不會驗證建立 user_name 屬性時使用的字元數。(5021886)

NT SAM 對「user_name」屬性的字元限制為 20 個字元,不過,Sun Java Directory Server 對於用來建立使用者名稱的字元數沒有限制。對映於 NT SAM 上「user_name」屬性的項目雖然可成功地從 NT SAM 傳遞至 Sun Java Directory Server,卻仍無法使用。在 NT SAM 上編輯或檢視該項目的屬性時,會顯示錯誤訊息。

主控台與指令行

如果重新建立、損毀或遺失了 Retro Change Log 資料庫檔案,則執行 idsync prepds。(4921114 和 4832355)

如果 Retro Change Log (RCL) 資料庫已遭刪除或損毀,Directory Server 或 Directory Server 連接器將發出警告訊息。當您看見這些訊息時,必須在繼續進行同步化之前,重新建立 Retro Changelog,然後重新執行 idsync prepds 指令。

選擇新的命名上下文之後,基本 DN 的瀏覽按鈕選擇沒有改變。(4944711)

如果您從主控台中配置 Identity Synchronization for Windows,使其使用多個 Directory Server 來源和兩個以上的 Active Directory (AD) 來源,當您配置新的「同步化使用者清單」(SUL) 時,代表基本 DN 的「瀏覽」按鈕的選擇不會正確地反映相應的 Directory Server 或 Active Directory 來源。

解決方法
手動將基本 DN 名稱輸入「基本 DN」欄位中。

主控台綱目主機應指向配置目錄。(4877996)

指定綱目主機時,建議您只使用核心配置目錄。請勿使用單機作業的 Directory Server 或任何其他遠端的配置目錄。

「主控台狀態」視窗不能執行 508 存取以檢視日誌檔案。(4874361)

「主控台狀態」視窗中的「日誌檔案檢視器」不允許使用無滑鼠介面來檢視日誌檔案。

解決方法
若要檢視日誌檔案,請將檔案複製到喜好的文字編輯器中 (「主控台日誌檢視器」外部)。

Message Queue 的主控台狀態未正確指出系統元件的正確狀態。(4937312)

如果主控台與 MessageBroker 之間的網路連線中斷,主控台會不正確地報告系統元件的狀態。

解決方法
如果發生網路問題,請務必重新啟動主控台。您也可以執行 idsync printstat 指令以接收更準確的訊息佇列狀態檢視。

在新增 Directory Server 資料來源時,雖然已經備妥 Directory Server ,系統還是會顯示一則提示訊息,要求備妥 Directory Server 。(5029558)

每當您建立一個新的 Sun Java System Directory Server 來源時,都會出現提示訊息,要求您備妥 Directory Server 來源。如果您已經備妥目錄來源,則可以放心地按一下選項「否」。

執行 CLI 指令 resetconn 時顯示訊息「重設中...」。密碼重設會失敗,且關於 Directory Server 來源、配置等所有資訊都會被移除。(5039655)

執行 resetconn 指令行功能時,主控台不應處於執行中狀態。如果不在執行此指令前先結束主控台,就會顯示訊息「重設中...」。您應立即結束主控台,然後再重新啟動它。

「startsync」指令無法執行。顯示錯誤訊息「無法為某些要求的目錄服務啟動同步化...」。(5050443)

在某些情況下 (例如記憶體不足時),指令行或管理主控台可能會報告「啟動同步化」成功,即使某些元件並不能啟動同步化功能。如果您遇到同步化問題,請查看錯誤日誌中與記憶體相關的訊息。

針對單一值屬性而存在多個值時,參數化屬性失敗。(5069907)

如果為單一值屬性指定多個值,而非指定單個值,同步化就會失敗。在將這些值儲存到 Directory Server 中時,不會顯示錯誤也不顯示警告訊息。

執行 idsync 指令時,在螢幕上以明文顯示密碼。(4900126)

如果 idsync 指令提示在輸入密碼時使用連結密碼和配置密碼,則密碼會顯示成明文,且不會被加密。

解決方法
若要避免密碼在螢幕上顯示,請將各個密碼存放在受保護的檔案中,然後將其重新導入指令行中。如果有任何密碼引數附帶 "-" 選項,則 idsync 指令會提示您按照選項出現在指令行上的順序來輸入密碼。例如,如果管理員密碼為 adminPw,而配置密碼為 configPw,然後建立一個檔案 (passwords.txt),其內容如下所示:
adminPw
configPw
然後執行 idsync printstat -w - -q - < passwords.txt 以執行該指令。

載入日誌檔案時出錯。(5091787)

在某些情況下,當您在「狀態」標籤的「主控台」中載入 audit.log 檔案時,可能會顯示下列錯誤:「由於發生不明錯誤,無法擷取日誌項目。可能需要重新啟動 Admin Server。」

解決方法
之後再嘗試載入並存取 audit.log 檔案時,就會將該檔案載入。

在進行移轉時,Prepds 顯示 MMR 設定的錯誤訊息。(5093124)

移轉複寫的環境時,idsync prepds 可能會不正確地呈報綱目複製已失敗。(例如,可能會出現如下錯誤訊息:「位於 ldap://preferred.example.com:389 上的喜好 Sun Java System Directory Server 無法將綱目變更複製到 ldap://secondary.example.com:389 上的輔助 Sun Java(TM) System Directory Server。請檢查複製設定」。) 在這種情況下,請以相同的引數再執行一次 idsync prepds。僅當第二次執行 idsync prepds 導致相同的錯誤訊息時,再檢查複製設定。

無法使用 Reflection X 10.0 來存取「主控台」。(5095013)

由於無法檢視其中的按鈕或文字方塊,也無法調整對話方塊的大小,因此某些對話方塊可能無法使用。

「主控台」中的日誌訊息顯示已損壞的多位元組字元。(6174184)

僅當使用了多位元組同步化使用者清單名稱或是正在同步化多位元組的字尾時,日誌中才會呈報多位元組字元。若要正確地檢視日誌訊息,請在顯示 UTF-8 編碼文件的檢視器內開啟日誌檔案 (/var/opt/SUNWisw/logs/central/error.log)。

當配置密碼已被變更後,startsync 和 stopsync 指令無法正常執行。顯示一則錯誤訊息。(6175396)

當使用 idsync changepw 指令變更了 Identity Synchronization for Windows 配置密碼,並且如果尚未重新啟動電腦,則 idsync startsyncstopsync 指令就無法正常執行。這些指令會顯示如下的錯誤訊息:「接收的訊息未加密。」並傳回結束代碼 1。

雖然顯示了錯誤訊息,但啟動/停止同步化作業仍會執行。若要檢驗這一點,請執行 idsync printstat 指令。不過,為了避免此問題發生,請確保在每次變更配置密碼之後均重新啟動電腦。

密碼同步化

密碼策略問題。(4834865 和 4811572)

如果同一個密碼策略用於不同的目錄,可能會導致同步化錯誤。例如密碼長度以及所需的最少與最多字元數。管理員必須手動變更不相容的密碼策略,以符合其他系統的密碼策略要求。

經過同步修改的對應屬性或密碼無法正常同步化。(4854183 和 4808601)

如果同步化了兩個目錄來源之間的某個項目,並對某個屬性進行了同步的修改,則該屬性可能無法正常同步化。例如,考慮下列一系列事件。

同理,如果在差不多同時間修改使用者的 Active Directory (AD) 和 Directory Server 的密碼,則密碼在某些情形下可能無法正常地同步化。

在工作負荷量較輕的系統中,彼此的密碼修改動作都必須在幾秒內發生才可能變得不同步。雖然即使 AD 密碼在被設為 Directory Server 值之後還是有可能發生這種情形,但不太可能在 AD 密碼被設為 Directory Server 值的幾毫秒內就修改 AD 密碼。

使用 Active Directory 的「使用者下次登入時必須變更密碼」功能。(4827180)

如果管理員變更使用者的 Active Directory (AD) 密碼,並指定「使用者下次登入時必須變更密碼」,則密碼變更將不會與 Directory Server 同步化,直到使用者登入並變更他們的密碼為止。

使用者身份驗證在下列情況下將會失敗:

  1. 使用者變更他們的 AD 密碼。(該密碼已經傳播至 Directory Server ,而 Directory Server 密碼已經失效)。
  2. 管理員重設使用者的密碼,並設定「使用者下次登入時必須變更密碼」旗標。
  3. 如果使用者嘗試使用 #1 或 #2 的密碼登入 Directory Server 中,登入將不會成功。變更 AD 或 Directory Server 的密碼將會更新 Directory Server 的密碼值。

如果在啟用 7 位元的檢查外掛程式時,指定 NT 或 Active Directory 的非 ASCII 密碼將會使密碼無法與 Directory Server 同步化。(4817344)

Directory Server 按預設會啟用 7 位元的檢查外掛程式 (子元件) 來檢查使用者密碼屬性值。請參閱:http://docs.sun.com/source/816-6699-10/plugattr.html

如果您以 Windows 的密碼來同步化非純 7 位元的 Directory Server,然後啟用並配置此外掛程式來檢查使用者密碼屬性值,則同步化將會失敗。

您在同步化具有非 ASCII 字元的密碼時必須很小心,因為密碼值的字元編碼不是持續性的。因此,變更密碼時 (以及進行身份驗證時),Windows 用戶端和 Directory Server 用戶端必須使用相同的字元編碼方式,否則作業就會失敗。

不支援多個密碼值。(4807350)

不支援多個使用者密碼值。

重新啟動系統管理員時,Resync 不會自動恢復 resync 過程。(5077660)

當執行 resync 指令並且重新啟動系統管理員時,resync 不會自動恢復並重新啟動此過程。

執行重新同步化時,建立屬性可能會遭刪除。(5085134)

對某個屬性所作的同步更新不會被同步化。(5077760)

當將某個值加入某一屬性中,並且幾乎是在同一時間在對應的遠端目錄項目的該屬性中也加入另一個不同的值時,就會發生這個問題。該屬性不會被同步化。

執行重新同步化時,即使重新同步化作業已經中斷,Directory Server 連接器也不會收到連結動作。(4985505)

當執行 resync -c -o Sun 時,會在 Active Directory 中建立了新使用者之後將 LINK 動作傳送到 Directory Server。雖然重新同步化作業已經中斷,Directory Server 連接器還是不會收到這些連結動作。目前,這些 LINK 動作收錄在說明所有 resync/linkusers 動作的同一個臨時性 MQ 主題中。

由於 Directory Server Retro-Change Log 外掛程式存在某一已知問題,無法在 Directory Server 和 Active Directory 之間同步化已刪除的項目。(5077814)

Directory Server Retro-ChangeLog 外掛程式可能未將已刪除項目的 dspswuserlink 儲存在外掛程式項目中。如果發生這個問題,就無法將 Directory Server 項目中的已刪除項目同步到 Active Directory 中。

解決方法
為解決此問題,請確定您已經使用可解決此問題的修補程式更新了 Directory Server。有關解決此問題所需之修補程式的資訊,請參閱Sun Java System Directory Server 5 2004Q2 Rectrochangelog 修補程式一節。

Sun Java System Message Queue

系統管理員無法連線至 Message Queue。(4907711)

系統管理員無法連線至 Message Queue,且 Message Queue 已經啟動。

解決方法
重新啟動安裝有核心程式的 Identity Synchronization for Windows 服務/常駐程式。

增加 Message Queue 代理程式的最大記憶體容量,以部署十萬名以上的使用者。(4924939)

Identity Synchronization for Windows 會配置 Message Queue 代理程式,使其預設使用最多 512 MB 的記憶體,此容量已經足以適應大多數的安裝方式。不過,如果要使安裝足以部署十萬名以上的使用者,您應將最大記憶體增加到至少 1 GB,才能確保有最佳的執行效能。如果要部署二十萬名以上的使用者,請將記憶體增加到 2 GB。

如果 Identity Synchronization for Windows 核心程式安裝在 Solaris 上,請按照下列步驟來增加 Message Queue 代理程式的記憶體限制:

  1. 發出下列指令以停止 Message Queue 代理程式:

    2. /etc/init.d/imq stop

  2. 編輯 /etc/imq/imqbrokerd.conf 檔案以將目前的預設記憶體設定 -Xmx512m 變更為 -Xmx1024m (記憶體增加到 1 GB),或變更為 -Xmx2048m (記憶體增加到 2 GB)。
  3. 發出下列指令以啟動 Message Queue 代理程式:

    4. /etc/init.d/imq start

如果 Identity Synchronization for Windows 核心程式安裝在 Windows 2000 上,請按照下列步驟來增加 Message Queue 代理程式的記憶體限制:

  1. 使用 Windows 服務管理控制台,停止 Message Queue 代理程式服務。
  2. <installation-root>/isw-<machine-name>/imq/bin 目錄中,在指令行中發出 imqsvcadmin query 指令。其輸出結果類似下列結果:

    3. Service iMQ Broker is installed.

    Display name:iMQ Broker

    Start Type:Automatic

    Binary location:C:\sunone\servers\isw-example\imqin\imqbrokersvc

    JREHome:c:/j2sdk1.4.2/jre/

    VM Args:-Xmx512m

    Broker Args:-passfile "C:/sunone/servers/isw-example/imq/etc/passfile.properties"

    -DimqConnectionType=TLS -port 7676 -name psw-broker

  3. 將此指令的輸出結果儲存到檔案。
  4. 發出 imqsvcadmin remove 指令可解除安裝 Message Queue 代理程式服務。
  5. 在您繼續進行前,必須先重新啟動安裝有核心程式的 Windows 2000 電腦。
  6. <installation-root>/isw-<machine-name>/imq/bin 目錄,使用您之前發出 imqsvcadmin query 指令之後儲存的輸出結果來發出下列指令。例如:

    7. imqsvcadmin install -jrehome c:/j2sdk1.4.2/jre/ -vmargs -Xmx1024m -args "-passfile C:/sunone/servers/isw-example/imq/etc/passfile.properties -DimqConnectionType=TLS -port 7676 -name psw-broker"

    此處:

    • -args 引數以 Broker Args 欄位的值填入。
    • -jrehome 引數以 JREHome 欄位的值填入。
    • 若要將記憶體增加到 1 GB,請使用 -vmargs -Xmx1024m
    • 僅限於 64 位元 Java VM:若要將記憶體增加到 2 GB,請使用 -vmargs -Xmx2048m
      32 位元 Java VM 的最高記憶體容量為 -Xmx1750m
  7. 使用 Windows 服務管理控制台來啟動 Message Queue 代理程式服務。

啟動與停止 Message Queue 代理程式。(4809493)

Windows 上的 Message Queue 代理程式會以服務的方式執行,而管理員可透過服務控制台面板來控制 Message Queue 代理程式服務。

若要啟動和停止代理程式,必須在安裝核心元件之後重新開機,因為必須重新啟動 Windows,服務管理員程序才能看到所需的 IMQ_JAVAHOME 環境變數。此情形只有在同時安裝 Message Queue 與核心元件時才會發生 (亦即不使用現有的 Message Queue)。

使用下列指令:

/etc/init.d/imq (stop start)

無法在未安裝核心元件的電腦上使用 Message Queue。(4943576)

Identity Synchronization for Windows 核心元件與 Message Queue 必須安裝於同一台主機上。

一般問題

即使同步化順利啟動,仍可能存在錯誤。(4814324)

即使 idsync startsync 傳回成功訊息,您仍應檢查中央錯誤日誌,檢驗連接器是否能夠連線至它們的目錄來源。

強烈建議您將配置目錄與目錄來源另外置於其他 MMR 配置的 Directory Server 實例中。(4943470 和 4943480)

使用多主伺服器複製 (MMR) 配置時,Sun 強烈建議您將配置目錄與目錄來源另外置於其他 Directory Server 實例中,並在安裝 Identity Synchronization for Windows 之前 配置複製合約。

如果您指定同一個 Directory Server 實例作為配置目錄與喜好的 Directory Server (使用者資料),並在安裝 Identity Synchronization for Windows 之後才建立複製合約,則 Identity Synchronization for Windows 核心元件安裝所建立的綱目元素會被刪除。如果發生這種情形,Identity Synchronization for Windows 將不會執行。

解決方法
若要在不慎刪除它的情況下更新綱目:

  1. 40so-psw.ldif 檔案 (其僅包含安裝套裝軟體之「配置登錄」的綱目物件) 複製到 Directory Server 實例的綱目目錄下。
  2. 變更 40so-psw.ldif 檔案名稱。

    3. 如果在啟動時處理 40so-psw.ldif,則不會載入綱目中的某些參照 (結果:伺服器不啟動)。

  3. 將重新命名後的檔案複製到兩個主要伺服器的綱目目錄中。(從伺服器的觀點來看,協定上的綱目並沒有改變,因為綱目項目的變更序號將維持不變。)

進行連結作業時使用的屬性應在 Directory Server 中索引化。(4814412)

使用 idsync resync (-f <filename> 選項) 連結使用者時,該指令會搜尋 Directory Server,尋找其中與 Active Directory 或 Windows NT 使用者相符的使用者。idsync resync 作業中使用的每個 Directory Server 屬性應予以索引化,以保持兩邊相同。

無法關閉中央記錄程式。(4945507 和 4933217)

雖然 Identity Synchronization for Windows 中央記錄程式 (記錄到檔案、syslog 或兩者中) 會讓您關閉記錄動作,但中央記錄程式仍會持續在之前指定的位置進行記錄。

例如,如果您從主控台指定 syslog 記錄 (在關閉檔案記錄的情況下),然後關閉 syslog 記錄,則程式將會繼續在 syslog 中進行記錄。例如,如果您從主控台指定檔案記錄 (在關閉 syslog 記錄的情況下),然後停用檔案記錄,則程式將會繼續在檔案日誌中進行記錄。

如果取消核取「將日誌寫入檔案中」,且從未使用 syslog,也會發生同樣的行為。在這種情形下,程式會繼續將日誌寫入目錄中。

重新啟動 Identity Synchronization for Windows 服務並沒有用處,記錄仍會繼續進行。

「同步化使用者清單」的「瀏覽」按鈕無法正常執行。(4944348)

如果您從同步化使用者清單 (SUL) 建立精靈或編輯器畫面中瀏覽以尋找基本 DN,最好使用「瀏覽」按鈕來覆核所得的基本 DN。在某些情況下,此按鈕會瀏覽錯誤的目錄,導致使用者獲得無效的基本 DN。

停用 Active Directory 上的使用者帳號。(4943785)

如果使用者使使用者帳號失效,然後變更他們的 Active Directory (AD) 密碼,他們就無法使用新密碼透過 AD 來進行身份驗證。不過,停用 AD 上的使用者帳號之後,他們仍能透過 Sun Java System Directory Server 登入。

變更配置目錄通訊埠。(4941271)

如果您變更目前用作 Identity Synchronization for Windows 配置目錄的 Sun Java System Directory Server 的通訊埠,則您也必須調整 Identity Synchronization for Windows 配置,這樣軟體才能辨認通訊埠變更,否則系統管理員與 Message Queue 代理程式將無法執行。

解決方法

  1. <imq_installroot>\imq\var\instances\psw-broker\props\config.properties 中修改通訊埠。例如,imq.user_repository.ldap.server=<host>\:<port>
  2. <isw_installroot>\resources\SystemManagerBootParams.cfg 中修改通訊埠
    例如,<Parameter name="manager.configReg.hostPort" value="<port>"/>
  3. 重新啟動 Message Queue 代理程式服務/常駐程式。
  4. 重新啟動 Identity Synchronization for Windows 服務/常駐程式。

對相異、具有多個值之屬性提供有限的支援。(4987930 和 4807260)

Identity Synchronization for Windows 對同步化相異、具有多個值的屬性只提供有限的支援,因為其結果是不定的。其限制條件如下:

Active Directory 會將說明屬性視為具有單一值的屬性,即使 AD 綱目將它們描述為具有多個值的屬性。(4938940)

當您使用具有多個值的說明屬性將項目新增到 Directory Server 時,下列 DSID-031D0809 錯誤將會顯示在 Active Directory (AD) 連接器的 audit.log 中:

該項目將存在於 Directory Server 中,但不存在於 AD 中。

此問題似乎是 Active Directory 的缺陷所造成的。有關詳細資訊,請參閱下列 Microsoft Knowledge Base 中的文章 (286760):

http://support.microsoft.com/default.aspx?scid=kb;en-us;286760&Product=win2000

解決方法
將該項目從 Directory Server 中移除,使說明屬性成為單一值的屬性,然後再將該屬性重新加入。

此外,請勿在「定義建立屬性對映與數值」對話方塊中初始化多個說明屬性。

當安全資料傳輸層憑證不受信任時,外掛程式不發出錯誤訊息。(4924027 和 4924705)

使用多主伺服器複製 (MMR) 配置時,如果 Identity Synchronization for Windows 外掛程式 (子元件) 正在使用安全資料傳輸層 (SSL) 進行通訊,而 SSL 問題造成通訊失敗,而外掛程式沒有提供錯誤訊息,則正在執行外掛程式之 Directory Server 的憑證資料庫可能會缺少對等伺服器之憑證的 CA 憑證 (此處的對等伺服器可能是喜好的主伺服器、輔助伺服器或是 Active Directory)。

您可使用 idsync certinfo 指令行公用程式來確定缺少的憑證。此公用程式可確定個資料庫需要哪些憑證 (產品需要哪些憑證)。

在 Sun Java System Directory Server 中建立的使用者應包含「同步化使用者清單」篩選器中的全部屬性。(4900568)

如果您要將在 Sun Java System Directory Server 中進行的建立動作傳遞至 Windows,使兩方的建立動作同步,且 Directory Server「同步化使用者清單」(SUL) 定義包含篩選器,那麼請嘗試建立一個屬性值不符合 SUL 篩選器的項目,該項目的建立將不會傳播出去,因為其屬性並不包含在 SUL 中。然後,因為原始的建立動作並沒有傳播出去,該 Directory Server 項目不會出現在 Windows 端。

解決方法
當這種情形發生時,就會記錄一項警告,管理員必須執行 idsync resync -c -o Sun 才能在 Windows 上建立該 Directory Server 項目。

如果您修改該項目,使屬性符合 SUL 篩選器,則對項目所作的修改將會傳播至 Windows 端。

NetBIOS 導致隨需同步化延遲。(4876741)

如果嘗試使用 Windows 2000 上的 Directory Server 和核心元件配置來同步化兩個 Active Directory (AD) 網域,會在當 Directory Server 外掛程式的隨需密碼同步化功能與 AD 進行通訊時造成延遲。針對 AD 進行的大多數查詢通常需要幾毫秒的時間。封包追蹤程式找到一些異常的 NBNS (NetBIOS 名稱服務) 封包。

解決方法
若要解決此問題,您必須存取 Directory Server 電腦上的 TCP/IP 設定,並透過 TCP/IP 停用 NetBIOS。

訊息匯流排所用的 Identity Synchronization for Windows 名稱空間 (主題)。(4827081)

此外

從「通用類別目錄」或「配置目錄」對話方塊指定主機需要耗費較長時間。(4826109 和 4812651)

當您指定無法解析的主機時,不會出現任何進度指示器 (例如游標忙碌或狀態列) 指出某項作業正在執行中。

NT 使用者名稱必須唯一。(4825636)

在 Directory Server 中建立使用者並將此建立動作傳播至 NT 時,您必須確保對映於 USER_NAME 的 Directory Server 屬性的值是唯一的。

建議使用者使用存取控制清單 (ACL) 來保護 XML 配置檔案的安全。(4812824)

將檔案層級保護用於 XML 配置檔案。這些檔案可能包含明文密碼值,因此您應使用它們所屬之系統提供的機制來保護它們的安全,例如檔案層級的 ACL。

支援的「同步化使用者清單」與資料庫關係。(4811577)

Identity Synchronization for Windows 只支援單一 Directory Server 資料庫。您必須將所有「同步化使用者清單」納入單個 Directory Server 資料庫之下。

日誌的數量可能無限地增加。(4807451)

除非您儲存或刪除舊日誌,否則 Identity Synchronization for Windows 中各個日誌檔案類型的數量將會無限地增加 (一天一個日誌檔案)。

日誌是以下列格式命名的:

下列日誌會保留下來:

這些日誌位於下列位置:

Active Directory 與 Directory Server 中具有特殊字元的項目不同步。(4816867)

當 uid 中使用一或多個特殊字元時,不僅 Identity Synchronization for Windows 無法解析特殊字元 (由於對映限制),Active Directory (AD) 也無法建立使用者。

AD 主控台無法讓您建立下列「使用者登入名稱」,如果

useraccountcontrol 屬性預設值會阻止您建立非使用者的 Active Directory 物件類別。(5043156)

如果為新使用者所選的物件類別無法使用 useraccountcontrol 屬性,則無法在 Active Directory 中建立使用者。此限制條件不適用於當使用者物件類別或使用者衍生出的任何其他物件類別允許在 Active Directory 中使用 useraccountcontrol 屬性的情形。

解決方法
使用 Directory Server 主控台來編輯配置使用者。找出並移除 useraccountcontrol 屬性。

例如:

dn:cn=130,ou=AttributeDescriptions,cn=active[2],ou=GlobalConfig,ou=1.1,ou=Ide
ntitySynchronization,ou=Services,dc=central,dc=sun,dc=com
pswVersion: 2
pswName:useraccountcontrol
pswSyntax: 1.3.6.1.4.1.1466.115.121.1.5
pswValue: 512
pswPreferCreationAttributeDefaultToAction:false
cn: 130
objectClass:pswattributedescription
objectClass:top

同時也要編輯 useraccountcontrol 屬性的所有參照,特別是 Active Directory 通用綱目之 pswCreationAttributeDefaultRef 屬性的參照。

例如:

dn:cn=127,ou=ActiveDirectory,ou=Globals,cn=active[2],ou=GlobalConfig,ou=1.1,o
u=IdentitySynchronization,ou=Services,dc=central,dc=sun,dc=com

無法對預設值進行驗證。(5051725)

可為屬性指定預設值,也可以在建立屬性時將其預設值套用於目錄項目 (請參閱《Sun Java System Identity Synchronization for Windows 安裝與配置指南》中的「建立屬性」)。目前無法對您指定的屬性值執行驗證。在同步化項目時為僅有單一值的屬性指定多個值將會造成物件建立失敗。指定屬性值時,請確定您指定的值符合您的企業的 LDAP 綱目。

使用者出現在「同步化使用者清單」(SUL) 中時,修改的處理不一致。(4970664)

如果某位使用者因某項修改而成為任何「同步化使用者清單」(SUL) 中的一員 (例如,SUL 有一個「l=Austin」的篩選器,且已修改使用者,將其屬性 l 設為 Austin),則 Sun Java System Identity Synchronization for Windows 會在 Active Directory 與在 Sun Java System Directory Server 中以不同方式來解讀此項使用者更新:

具有結構性物件類別 (沿用選定要同步化的物件類別) 的項目也一起同步化。(5046861)

例如,如果選取 organizationalperson 物件類別,則具有 inetorgperson 物件類別的使用者也會被同步化,因為 inetorgperson 是 organizationalperson 的子類別。

若要避免此情形發生,請在排除該子類別的 SUL 上包含一個篩選器:
(!(objectclass=inetorgperson))

通常會在使用 resync 來同步化已刪除項目時導致問題,因為子類別也會被刪除。例如,如果 Active Directory 的 computer 物件類別是繼承自 user 類別的物件類別,則 computer 項目會被刪除,因為它們沒有對應的 Directory Server 項目。若要避免 computer 項目被同步化,請在排除這類項目的 SUL 上包含一個篩選器:
(!(objectclass=computer))

系統不會在日誌檔案過期後自動將其移除。(5069020)

系統不會移除超過指定天數 (等待移除) 的日誌檔案。

對預設的建立屬性值的配置可能不正確,或是驗證邏輯失敗。(5066657)

如果 Directory Server 與 Active Directory 資料來源的建立屬性名稱相同,則在將預設值加入某個屬性名稱中時會自動將相同的預設值加入另一個來源。

解決方法
移除主控台中的建立屬性對映和建立屬性,然後再重新將其加入。儲存前,請執行下列操作:
如果對映屬性的名稱相同,且屬性的語法 (OID) - Active Directory 與 Directory Server 的綱目 - 相同,則請:

useraccountcontrol 屬性的預設值會阻止您建立非使用者的 Active Directory 物件類別。(5043156)

如果為新使用者所選的物件類別無法使用 useraccountcontrol 屬性,則無法在 Active Directory 中建立使用者。使用者物件類別或使用者衍生出的任何其他物件類別允許在 Active Directory 中使用 useraccountcontrol 屬性,且不受此限制條件的影響。

無法將 InetOrgperson 與具有必填屬性的延伸類別相對映。(5091959)

例如,會顯示一條錯誤訊息:「未為 Active Directory 屬性 mail 指定任何 Sun 對映或數值」,其中 mail 是必填屬性,並且 mail 會對映至 Sun 的 mail 屬性。

《Identity Synchronization for Windows 安裝與配置手冊》並未提及「下一步」按鈕和「摘要」窗格的資訊。(5104768)

《Identity Synchronization for Windows 安裝與配置手冊》會在每次呼叫結束時指出,您必須使用「安裝摘要」窗格上的「關閉」按鈕來結束精靈。但是,該窗格上並沒有「關閉」按鈕的選項。您必須在「安裝摘要」窗格上按一下「下一步」按鈕,以進入說明其餘要執行之安裝與配置步驟的窗格。對於所有的非核心元件安裝作業,此窗格會顯示一個「完成」按鈕,按一下它即可結束精靈。對於核心元件安裝,此窗格會顯示一個「下一步」按鈕,按一下它即可進入另一個窗格,提示您是否要啟動主控台。在此窗格中,您可使用「完成」按鈕來結束安裝程式。

WAN 支援限制條件。(5097751)

Identity Synchronization for Windows 可部署於廣域網路 (WAN) 環境中,但有某些限制條件。

除了 Directory Server 外掛程式以外,所有的 Identity Synchronization for Windows 元件都必須安裝在同一個 LAN 中 (例如,同一台電腦上),也就是說,在 WAN 中不應傳輸任何 Message Queue 通訊。這些元件可透過具有 Directory Servers 或 Active Directory 網域控制器的 WAN 彼此通訊。

WAN 上的效能取決於延時情況和連結速度。我們建議至少使用 T1 (1.544Mbps) 的連線方式,並且每一連接器與其所管理的目錄之間的通訊延時不超過 300MS。在 Active Directory 和 Directory Server 由 WAN 分隔的部署中,透過在 Directory Server 所在的同一個 LAN 中安裝 Directory Server 連接器,並使 Active Directory 連接器透過 WAN 與 Active Directory 進行通訊,可達到較佳的效能。

可轉散發的檔案

Sun Java System Identity Synchronization for Windows 1 2004Q3 不包含任何可轉散發的檔案。

如何報告問題與提供回饋

如果您對 Sun Java System Identity Synchronization for Windows 有疑問,請使用下列任一機制來聯絡 Sun 客戶支援人員:

為了提供最好的服務,協助您解決問題,請在聯絡支援人員時備妥下列資訊:

Sun 歡迎您提出意見

Sun 致力於提昇其文件品質,並且歡迎您提供意見與建議。使用基於 web 的表單向 Sun 提供您的回饋意見:

http://www.sun.com/hwdocs/feedback/

請在相應的欄位中輸入完整的文件標題與文件號碼。文件號碼可在手冊的標題頁上,或是文件的最上方找到,通常是七位數或九位數的號碼。例如,Identity Synchronization for Windows 1 2004Q3 版 版本說明 的文件號碼為 817-7856。

其他 Sun 資源

下列網際網路位置可找到對您有幫助的 Sun Java System 資訊:

Copyright © 2004 Sun Microsystems, Inc.版權所有。

Sun Microsystems, Inc. 擁有本文件所說明之產品所應用的技術智慧財產權。特別是這些智慧財產權 (但不限於這些) 可能包含 http://www.sun.com/patents 所列示的一項或多項美國專利權,以及美國及其他國家中的一項或多項其他專利權或擱置的專利申請案。

SUN 資產/機密。

U.S. Government Rights - Commercial software. Government users are subject to the Sun Microsystems, Inc. standard license agreement and applicable provisions of the FAR and its supplements.

此發行可能包括協力廠商所開發的材料。

部份材料可能衍生自 CA 大學所授權的 Berkeley BSD 系統。

Sun、Sun Microsystems、Sun 標誌、Java 及 Solaris 是 Sun Microsystems, Inc. 在美國及其他國家的商標或註冊商標。所有 SPARC 商標皆是在授權下使用,且是 SPARC International, Inc. 在美國及其他國家的商標或註冊商標。