Sun Java System Directory Server Enterprise Edition 6.1 リリースノート

第 5 章 Identity Synchronization for Windows の修正されたバグと既知の問題点

この章では、Identity Synchronization for Windows のリリース時点で判明している、製品固有の重要な情報を示します。

この章では、次の内容について説明します。

Identity Synchronization for Windows で修正されたバグ

この節では、Directory Server Enterprise Edition 6.0 リリースで修正されたバグの一覧を示します。

6203357

Identity Synchronization for Windows は、Active Directory と Directory Server の間のグループ同期をサポートする必要があります。

6255331

LDAP データベースの設定でサブサフィックス連鎖を有効にした場合、連鎖されるデータベースのレコードを Identity Synchronization for Windows を使用して変更することはできません。ユーザーは連鎖されたデータベース内のエントリの作成と削除のみを行うことができます。作成、削除、更新を含むすべての操作は、プラグインがロードされていない場合に可能です。

6306868

フェイルオーバー設定における二次フェイルオーバーサーバーは、サーバーを設定するための o=NetscapeRoot DIT を持つ必要があります。

6308208

マルチマスターレプリケーションの設定で複数ホストオプションを指定すると、コマンド prepds がエラーを返します。その結果、ユーザーはマルチマスターレプリケーション設定を実行できません。

6312235

Identity Synchronization for Windows をインストールするときの TO DO リストで、サポート対象プラットフォームの一覧から Linux についての情報が欠落しています。

6331112

アカウントのロックアウトおよびアクティブ化の同期が、新しいパスワードポリシー属性を使用して実行されません。

6332185

Active Directory と Directory Server 間の同期のための、実装されているべきグループタイプマッピングが未実装です。

6332186

Identity Synchronization for Windows で、グループのユーザー名属性が正しくマップされません。

6332189

Identity Synchronization for Windows で、グループおよびグループメンバーが同じ SUL に属するかどうかのチェックが行われません。

6332300

一次マスターがダウンしているときに、Identity Synchronization for Windows がユーザーの作成、変更、および削除を二次マスターから Windows Active Directory に同期できません。

6332912

Identity Synchronization for Windows が、ユーザーの作成、変更、または削除を Directory Server から Active Directory に同期しません。この問題は、一次ホストと、二次ホストのリスト内の N 番目の二次ホストがダウンしているときに発生します。

6333957

管理ユーザーが使用されなくなったため、Identity Synchronization for Windows によって作成される管理ユーザーは不要です。uid=admin ユーザーの作成を削除してください。

6333958

Directory Server コンソールにアクセスするためにディレクトリ情報ツリーをクリックすると、Identity Synchronization for Windows がエラーを返します。

6334706

Directory Server プラグインの設定オプションが選択されていないときでも、Identity Synchronization for Windows インストーラが Directory Server の再起動を要求します。

6337005

Identity Synchronization for Windows のコマンド行使用例で、リンクユーザーを参照していますがこれは誤りです。

6339416

アンインストールプログラムで、手動による管理サーバーのアンインストールをユーザーに促すべきですが、実際にはそのように動作しません。

6339420

Identity Synchronization for Windows インストーラによってインストールされるコンポーネントの一覧から管理サーバーが欠落しています。

6388815

入れ子のグループの同期は現時点でサポートされていないため、そのような同期を実行しようとすると Active Directory コネクタおよび Directory Server コネクタがクラッシュします。

Identity Synchronization for Windows の既知の問題点と制限事項

この節では、リリース時点での既知の問題点および制限事項の一覧を示します。

Identity Synchronization for Windows の制限事項

この節では、製品の制限事項の一覧を示します。制限事項には、必ずしもバグ ID が関連付けられるわけではありません。

Identity Synchronization for Windows を正しくインストールするためには、sun-sasl-2.19-4.i386.rpm が必要です。

Linux では、Identity Synchronization for Windows をインストールする前に、お使いのシステム上に sun-sasl-2.19-4.i386.rpm パッケージがインストールされていることを確認してください。このパッケージがインストールされていないと、Identity Synchronization for Windows のインストールは失敗します。SASL パッケージは、JES 5 以降の配布パッケージの共有コンポーネントから取得できます。

ファイルアクセス権を手作業で変更した場合の問題点

インストール済みの Directory Server Enterprise Edition 製品ファイルのアクセス権を変更すると、場合によってはソフトウェアが正常に動作しなくなる可能性があります。

この制限事項に対処するには、適切なユーザーアクセス権およびグループアクセス権を持つユーザーとして製品をインストールします。

Identity Synchronization for Windows コアサービスのフェイルオーバーが行われない

Identity Synchronization for Windows コアサービスがインストールされたシステムを失った場合、システムを再インストールする必要があります。Identity Synchronization for Windows コアサービスのフェイルオーバーはありません。

ou=services (Identity Synchronization for Windows DIT の設定ブランチ) を LDIF 形式でバックアップし、Identity Synchronization for Windows の再インストール中にこの情報を使用してください。

Windows 2003 SP1 での認証動作の変更

Windows 2003 SP1 をインストールした場合、デフォルトでは、ユーザーは旧パスワードを使用して自分のアカウントに 1 時間アクセスできます。

その結果、ユーザーが Active Directory で自分のパスワードを変更すると、オンデマンド同期属性 dspswvalidate は true に設定され、旧パスワードが Directory Server への認証に使用できます。それにより、Directory Server で同期されるパスワードは、現在の Active Directory パスワードではなく、以前の旧パスワードになります。

この機能を無効にする方法の詳細は、Microsoft Windows サポートマニュアルを参照してください。

管理サーバーを削除する前に serverroot.conf の削除が必要

管理サーバーを正常にアンインストールするには、管理サーバーのパッケージを削除する前に /etc/mps/admin/v5.2/shared/config/serverroot.conf を削除してください。

システムまたはアプリケーション障害時のデータ回復の実行

ハードウェアまたはアプリケーションで障害が発生したあと、同期されたディレクトリソースの一部にあるバックアップからデータを回復しなければならない場合があります。

ただし、データ回復の完了後、同期を通常どおり進行できることを保証するために、追加の手順を実行する必要があります。

コネクタは通常、メッセージキューに伝播された最後の変更についての情報を維持します。

コネクタ状態と呼ばれるこの情報は、コネクタがそのディレクトリソースから読み出す必要がある後続の変更を特定するために使用されます。同期されるディレクトリソースのデータベースがバックアップから復元される場合、コネクタ状態がすでに有効でなくなっている可能性があります。

Active Directory および Windows NT 用の Windows ベースのコネクタも内部データベースを維持します。データベースは、同期されるデータソースのコピーです。このデータベースは、接続されたデータソースのどの部分が変更されたかを特定するために使用されます。接続された Windows ソースがバックアップから復元された時点で、内部データベースは有効ではなくなります。

一般に、回復されたデータソースを再読み込みする目的には idsync resync コマンドを使用できます。


注 –

パスワードを同期する目的には、1 つの例外を除いて再同期は使用できません。Directory Server 内のパスワードを無効にするために、-i ALL_USERS オプションを使用できます。これは、再同期データソースが Windows の場合に可能な方法です。また、SUL リストには Active Directory システムのみを含める必要があります。


ただし、すべての状況で idsync resync コマンドを使用できるとは限りません。


注意 – 注意 –

次に説明する手順のいずれかを実行する前に、同期が停止していることを確認してください。


双方向の同期

同期設定に応じて、適切な修飾子設定を指定して idsync resync コマンドを使用します。resync 操作のターゲットとしては、回復されるディレクトリソースを使用します。

単方向の同期

回復されるデータソースが同期の送信先である場合、双方向の同期のときと同じ手順に従うことができます。

回復されるデータソースが同期のソースである場合、回復されるディレクトリソースの再読み込みには引き続き idsync resync を使用できます。Identity Synchronization for Windows の設定で、同期フローの設定を変更する必要はありません。idsync resync コマンドでは、-o Windows|Sun オプションを使用して、設定されたフローとは無関係に同期フローを設定することができます。

例として、次のシナリオを考えます。

Directory Server と Active Directory の間で、双方向の同期が設定されています。

Procedure単方向の同期を実行するには

  1. 同期を停止します。


    idsync stopsync -w - -q -
  2. Active Directory ソースを再同期します。また、変更、作成、および削除を再同期します。


    idsync resync -c -x -o Sun -l AD -w - -q -
  3. 同期を再開します。


    idsync startsync -w - -q -

ディレクトリソース固有の回復手順

以降の手順は、特定のディレクトリソースに対応します。

Microsoft Active Directory

Active Directory をバックアップから復元できる場合は、双方向または単方向の同期について説明した節の手順に従います。

ただし、重大な障害が発生したあとは、使用するドメインコントローラの変更が必要になる場合があります。この場合、Active Directory コネクタの設定を更新するため、次の手順に従います。

Procedureドメインコントローラを変更するには

  1. Identity Synchronization for Windows 管理コンソールを起動します。

  2. Configuration タブを選択します。「ディレクトリソース」ノードを展開します。

  3. 適切な Active Directory ソースを選択します。

  4. 「コントローラの編集」をクリックし、新しいドメインコントローラを選択します。

    選択したドメインコントローラを、ドメインの NT PDC FSMO ロール所有者にします。

  5. 構成を保存します。

  6. Active Directory コネクタが動作しているホストで、Identity Synchronization サービスを停止します。

  7. ServerRoot/isw-hostname/persist/ADPxxx の下にある、ディレクトリを除くすべてのファイルを削除します。ここで、xxx は Active Directory コネクタ ID の数字部分です。

    たとえば、Active Directory コネクタ ID が CNN100 の場合、この数字は 100 です。

  8. Active Directory コネクタが動作しているホストで、Identity Synchronization サービスを開始します。

  9. 単方向または双方向の同期について説明した節に示されている同期フローに従い、手順を進めます。

フェイルオーバーと Directory Server

旧バージョン形式の更新履歴ログデータベースと、同期されるユーザーがいるデータベースのどちらか一方または両方が、重大な障害によって影響を受ける可能性があります。

ProcedureDirectory Server のフェイルオーバーを管理するには

  1. 旧バージョン形式の更新履歴ログデータベースの場合

    旧バージョン形式の更新履歴ログデータベースで、Directory Server コネクタが処理できない変更が発生した可能性があります。旧バージョン形式の更新履歴ログデータベースの復元に意味があるのは、バックアップに未処理の変更が含まれる場合に限られます。ServerRoot/isw-hostname/persist/ADPxxx/accessor.state ファイル内の最新のエントリを、バックアップ内の最後の changenumber と比較します。accessor.state の値がバックアップ内の changenumber 以上である場合は、データベースを復元しないでください。その代わりに、データベースを再作成してください。

    旧バージョン形式の更新履歴ログデータベースが再作成されたあとで、必ず idsync prepds を実行してください。別の方法として、Identity Synchronization for Windows 管理コンソールの「ディレクトリソース」ウィンドウで「Directory Server の準備」をクリックします。

    Directory Server コネクタは、旧バージョン形式の更新履歴ログデータベースが再作成されたことを検出し、警告メッセージをログに出力します。このメッセージは無視しても安全です。

  2. 同期対象データベースの場合

    同期対象データベースのバックアップが利用できない場合、Directory Server コネクタを再インストールする必要があります。

    同期対象データベースをバックアップから復元できる場合は、双方向または単方向の同期について説明した節の手順に従います。

Identity Synchronization for Windows の既知の問題点

この節では、既知の問題点の一覧を示します。既知の問題点にはバグ ID が関連付けられています。

4997513

Windows 2003 システムでは、ユーザーが次回ログオン時にパスワードを変更しなければならない設定がデフォルトでオンになっています。Windows 2000 システムでは、この設定はデフォルトではオフです。

Windows 2000 および Windows 2003 システムで「ユーザーは次回ログオン時にパスワードの変更が必要」設定をオンにしてユーザーを作成すると、Directory Server 上ではパスワードなしのユーザーが作成されます。ユーザーが次回 Active Directory にログインするとき、ユーザーはパスワードを変更する必要があります。この変更により、そのユーザーの Directory Server 上でのパスワードは無効化されます。またこの変更により、そのユーザーが次回 Directory Server への認証を行うときに、オンデマンドでの同期が強制的に必要になります。

Active Directory 上でパスワードを変更するまでの間、ユーザーは Directory Server への認証を行うことができません。

5077227

Remote Administration 2.1 を含む pcAnywhere 10 で Identity Synchronization for Windows コンソールを表示しようとすると、問題が発生する可能性があります。pcAnywhere バージョン 9.2 では、同様の問題の発生は確認されていません。問題が解決しない場合は、リモート管理ソフトウェアを削除してください。代替としては VNC を使用できます。VNC では、Identity Synchronization for Windows コンソールの表示に関する既知の問題は確認されていません。

5097751

FAT 32 でフォーマットされたファイルシステム上の Windows システムに Identity Synchronization for Windows をインストールする場合、ACL は利用できません。また、セットアップ時にアクセス制限が施行されません。セキュリティーを確保するために、Identity Synchronization for Windows のインストールは必ず、NTFS ファイルシステム上の Windows に対して行うようにしてください。

6254516

コンシューマ上で Directory Server プラグインをコマンド行を使用して設定するとき、プラグインはコンシューマに対して新しいサブコンポーネント ID を生成しません。プラグイン設定はコンシューマに対して新しい ID を生成しません。

6288169

Identity Synchronization for Windows 用のパスワード同期プラグインは、accountlock および passwordRetryCount をチェックする前であっても、未同期のアカウントについて Active Directory へのバインドを試みます。

この問題点を解決するには、LDAP サーバー上でパスワードポリシーを施行します。また、ユーザー検索時に次のフィルタを使用するように Access Manager を設定します。

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

ただしこの対処策では、LDAP 経由でのログイン試行数が多すぎるときに「ユーザーが見つからない」エラーが返されます。この対処策では、Active Directory アカウントをブロックしません。

6331956

o=NetscapeRoot がレプリケートされる場合に、Identity Synchronization for Windows コンソールが起動に失敗します。

6332197

ユーザー情報がまだ作成されていないグループを Directory Server 上で同期すると、Identity Synchronization for Windows はエラーを返します。

6336471

Identity Synchronization for Windows プラグインは、連鎖されたサフィックスを通じた検索を行うことができません。結果として、Directory Server インスタンス上で変更およびバインド操作を実行できません。

6337018

Identity Synchronization for Windows で、XML ファイルへの Identity Synchronization for Windows 設定のエクスポートがサポートされているべきですが、実際にはサポートされていません。

6386664

Identity Synchronization for Windows は、グループ同期機能を有効にした時点で Active Directory と Directory Server の間のユーザーおよびグループの情報を同期します。コマンド行から resync コマンドが発行されてからはじめて同期が発生するのが理想的な動作です。

6452425

SUNWtls パッケージのバージョン 3.11.0 がインストールされている Solaris システムに Identity Synchronization for Windows をインストールすると、管理サーバーが起動しない場合があります。この問題を解決するには、Identity Synchronization for Windows をインストールする前に SUNWtls パッケージをアンインストールします。

6251334

Active Directory ソースの変更後であっても、ユーザー削除の同期を停止できません。したがって、同期対象ユーザー (SUL) リストが同じ Active Directory ソース内の別の組織ユニット (OU) にマップされる場合、削除の同期は継続します。ユーザーは Directory Server インスタンス上では削除されたように見えます。SUL マッピングを持たない Active Directory ソースからユーザーが削除される場合でも、ユーザーは削除されたように見えます。

6335193

ユーザーを Directory Server から Active Directory に同期する目的で、再同期コマンドの実行を試みる場合があります。未同期のユーザーが未同期グループに追加されると、グループエンティティーの作成に失敗します。

この問題を解決するには、同期が正しく行われるように、resync コマンドを 2 回実行する必要があります。

6339444

同期ユーザーリストで「ベース DN」ペインの「参照」ボタンを使用して、同期のスコープを指定できます。スコープを指定するとき、サブサフィックスは取得されません。

この問題点に対処するには、読み取りおよび検索に対して匿名アクセスを許可する ACI を追加します。

6379804

このエラーは、Windows システム上で Identity Synchronization for Windows のコアコンポーネントをバージョン 1.1 SP1 にアップグレードする際に発生します。updateCore.bat ファイルで、管理サーバーへの参照がハードコードされている部分に誤りがあります。その結果、アップグレード処理の一部が正常に完了しません。

この問題を解決するには、ユーザーは、アップグレードスクリプトの管理サーバーを参照している部分 (2 箇所) を置き換える必要があります。

アップグレードスクリプトの 51 行目と 95 行目の次の命令を置き換えます。変更する行は次のとおりです。

net stop "Sun Java(TM) System Administration Server 5.2"

この行を次のように変更します。

net stop admin52-serv

指示どおりに変更を行ったあとで、アップグレードスクリプトを再実行してください。

6388872

Directory Server で、Active Directory に対する Windows の作成式について、フロー cn=%cn% はユーザーとグループの両方に対して機能します。それ以外のすべての組み合わせに対し、Identity Synchronization for Windows は同期中にエラーを発生します。

6332183

ユーザー dn: user1, ou=isw_data を既存のグループ dn: DSGroup1,ou=isw_data に追加するシナリオを考えます。ユーザーをグループから削除する (削除操作を実行する) と、グループの uniquemember が変更されます。ここで、同じ DN を持つグループに同じユーザーが追加されると仮定します。userdn: user1, ou=isw_data に対して追加操作が実行されます。

削除が可能になる前に追加操作のフローが Directory Server から Active Directory に移ると、Identity Synchronization for Windows は、ユーザーがすでに存在するという例外をログに出力する可能性があります。同期中に削除操作よりも先に追加操作が実行される競合状況が発生する可能性があり、結果として、Active Directory が例外をログに出力します。

6444341

Identity Synchronization for Windows のアンインストールプログラムがローカライズされていません。WPSyncResources_X.properties ファイルの /opt/sun/isw/locale/resources ディレクトリへのインストールが失敗します。

この問題点に対処するには、不足している WPSyncResources_X.properties ファイルを、installer/locale/resources ディレクトリから手動でコピーします。

6444878

Java Development Kit (JDK) バージョン 1.5.0_06 のインストールと設定は、管理サーバーを実行する前に行ってください。

6444896

Identity Synchronization for Windows のテキストベースインストールの実行時に、管理パスワードを空にしたまま Enter キーを押すと、インストールプログラムが終了します。

6452538

Windows プラットフォームで、Identity Synchronization for Windows によって使用される Message Queue 3.5 では、PATH 値の長さが 1K バイト未満である必要があります。これよりも長い値は切り捨てられます。

6486505

Windows では、Identity Synchronization for Windows は英語および日本語ロケールのみをサポートします。

6477567

Directory Server Enterprise Edition 6.1 で、Identity Synchronization for Windows 用の Directory Server プラグインは Directory Server インストールとともにインストールされます。Identity Synchronization for Windows のインストーラでは Directory Server プラグインはインストールされません。代わりに、Identity Synchronization for Windows はプラグインの設定のみを行います。

このリリースの Identity Synchronization for Windows では、テキストベースのインストーラによるインストール処理中に、Identity Synchronization for Windows 用 Directory Server プラグインの設定が要求されることはありません。対処策として、Identity Synchronization for Windows インストールの完了後に、コマンドプロンプトから Idsync dspluginconfig コマンドを実行します。

6472296

日本語 Windows システムにインストールする際に一部のローカライズパッケージがインストールされず、Identity Synchronization for Windows のユーザーインタフェースの一部が英語で表示される場合があります。

この問題点に対処するには、インストールを開始する前に、PATH 環境変数に unzip.exe を追加します。

6485333

インストーラとアンインストーラが一部国際化されていないため、英語のメッセージが表示されます。

6492125

中国語および韓国語ロケールでは、Identity Synchronization for Windows のオンラインヘルプの内容が正しく表示されません。

6501874

Directory Server パスワード互換モード (pwd-compat-mode) が DS6-migration-mode または DS6-mode に設定されている場合、Directory Server から Active Directory へのアカウントのロックアウトの同期が失敗します。

6501886

Active Directory ドメインの管理者パスワードを変更した場合、Identity Synchronization for Windows コンソールに警告が表示される現象が確認されています。使用しているパスワードが有効な場合でも、表示される警告は「ホストのクレデンシャルが無効です:hostname.domainnname」となります。

6529349

Solaris SPARC では、/usr/share/lib/mps//jss4.jar ファイルが存在しないと Identity Synchronization for Windows がアンインストールされない可能性があります。これは、製品インストールの実行時に、インストーラがすでにインストールされている SUNWjss パッケージのインスタンスを検出し、これを更新しない場合のみに発生します。

この問題を回避するには、製品のインストール時に、Java クラスパスに /usr/share/lib/mps/secv1/jss4.jar を追加します。


$JAVA_EXEC -Djava.library.path=./lib \
-classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\
${SUNWjss}/usr/share/lib/mps/jss4.jar:\
${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\
./lib/ldap.jar:./lib/webstart.jar:\
${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\
./resources:./locale/resources:./lib/common.jar:\
./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \
-Djava.util.logging.config.file=./resources/Log.properties \
-Djava.util.logging.config.file=../resources/Log.properties \
-Dcom.sun.directory.wps.logging.redirectStderr=false \
-Dcom.sun.directory.wps.logging.redirectStdout=false \
uninstall_ISW_Installer $1