Identity Synchronization for Windows의 알려진 문제점 및 제한 사항

이 절에는 릴리스 당시의 알려진 문제점과 제한 사항이 나열되어 있습니다.

Identity Synchronization for Windows 제한 사항

이 절에는 제품의 제한 사항이 나열되어 있습니다. 제한 사항이 항상 변경 요청 번호와 연관되어 있는 것은 아닙니다.

Identity Synchronization for Windows를 설치하려면 sun-sasl-2.19-4.i386.rpm이 필요합니다.

Linux에서 Identity Synchronization for Windows를 설치하기 전에 해당 시스템에 sun-sasl-2.19-4.i386.rpm 패키지가 설치되어 있는지 확인합니다. 그렇지 않으면 Identity Synchronization for Windows 설치가 실패합니다. JES 5 이상의 배포 중 공유 구성 요소에서 SASL 패키지를 얻을 수 있습니다.

파일 권한을 직접 변경하지 마십시오.

설치된 Directory Server Enterprise Edition 제품 파일의 파일 권한을 변경하면 소프트웨어가 제대로 작동하지 않을 수 있습니다.

이 제한 사항을 해결하려면 적절한 사용자 및 그룹 권한을 가진 사용자로 제품을 설치합니다.

Identity Synchronization for Windows 코어 서비스에 대한 페일오버가 없습니다.

Identity Synchronization for Windows 코어 서비스가 설치된 시스템을 완화할 경우 다시 설치해야 합니다. Identity Synchronization for Windows 코어 서비스에 대한 페일오버가 없습니다.

LDIF 형식으로 ou=services(Identity Synchronization for Windows DIT의 구성 분기)를 백업하고 Identity Synchronization for Windows를 다시 설치하는 동안 이 정보를 사용합니다.

Microsoft Windows 2003 SP1에서 인증 동작을 변경합니다.

Windows 2003 SP1을 설치할 때 기본적으로 사용자는 이전 비밀번호를 사용하여 1시간 동안 자신의 계정에 액세스할 수 있습니다.

따라서 사용자가 활성 디렉토리에서 자신의 비밀번호를 변경할 때 요청 시 동기화 속성 dspswvalidate가 true로 설정되고 이전 비밀번호를 디렉토리 서버 인증에 사용할 수 있습니다. 이에 따라 디렉토리 서버에서 동기화된 비밀번호는 현재 활성 디렉토리의 비밀번호보다 이전의 비밀번호가 됩니다.

이 기능을 비활성화하는 방법에 대한 자세한 내용은 Microsoft Windows 지원 설명서를 참조하십시오.

관리 서버를 제거하기 전에 serverroot.conf를 제거합니다.

관리 서버를 제거하려면 관리 서버 패키지를 제거하기 전에 /etc/mps/admin/v5.2/shared/config/serverroot.conf를 제거합니다.

CLASSPATH에서 admin jars 경로 지정

CLASSPATH는 admin jars의 위치를 포함해야 합니다. 그렇지 않으면 재동기화 중에 noClassDefFound 오류가 표시됩니다.

시스템이나 응용 프로그램이 실패할 경우 데이터 복구 수행

하드웨어나 응용 프로그램 실패 후 동기화된 디렉토리 소스 일부에서 백업 데이터를 복원해야 할 수도 있습니다.

그러나 데이터 복구를 완료한 후 동기화가 정상적으로 수행되게 하려면 추가 절차를 수행해야 합니다.

일반적으로 커넥터는 메시지 대기열로 전달한 마지막 변경 사항에 대한 정보를 유지관리합니다.

커넥터 상태라고 하는 이 정보를 사용하여 디렉토리 소스에서 커넥터가 읽어야 할 후속 변경 사항을 결정합니다. 동기화된 디렉토리 소스의 데이터베이스를 백업에서 복원한 경우 커넥터 상태가 더 이상 유효하지 않을 수 있습니다.

활성 디렉토리 및 Windows NT용 Windows 기반의 커넥터도 내부 데이터베이스를 유지관리합니다. 데이터베이스는 동기화된 데이터 소스의 복사본입니다. 데이터베이스를 사용하여 연결된 데이터 소스의 변경 내용을 확인합니다. 연결된 Windows 소스를 백업에서 복원한 경우 내부 데이터베이스가 더 이상 유효하지 않습니다.

일반적으로 idsync resync 명령을 사용하여 복구된 데이터 소스를 다시 채울 수 있습니다.

다시 동기화를 사용하여 비밀번호를 동기화할 수 없습니다(하나의 예외). -i ALL_USERS 옵션을 사용하여 디렉토리 서버의 비밀번호를 무효화할 수 있습니다. 다시 동기화 데이터 소스가 Windows일 경우 이 옵션이 작동합니다. 또한 SUL 목록은 활성 디렉토리 시스템만 포함해야 합니다.

그러나 idsync resync 명령 사용이 일부 상황에서는 허용 가능하지 않을 수 있습니다.

다음의 자세한 단계를 실행하기 전에 동기화가 중지되었는지 확인합니다.

양방향 동기화

동기화 설정에 따라 적절한 한정자 설정과 함께 idsync resync 명령을 사용합니다. 복구된 디렉토리 소스를 resync 작업의 대상으로 사용합니다.

단방향 동기화

복구된 데이터 소스가 동기화 대상일 경우 양방향 동기화에 대해 동일한 절차를 수행할 수 있습니다.

복구된 데이터 소스가 동기화 소스일 경우 idsync resync를 사용하여 복구된 디렉토리 소스를 다시 채울 수 있습니다. Identity Synchronization for Windows 구성에서 동기화 흐름 설정을 변경할 필요가 없습니다. idsync resync 명령을 사용하면 -o Windows|Sun 옵션으로 구성된 흐름과 상관 없이 동기화 흐름을 설정할 수 있습니다.

다음 시나리오를 예로 들어 보겠습니다.

디렉토리 서버와 활성 디렉토리 간에 양방향 동기화가 설정되어 있습니다.

• Microsoft Active Directory 서버의 데이터베이스를 백업에서 복구해야 합니다.

• Identity Synchronization for Windows에서 SUL AD에 대해 활성 디렉토리 소스가 구성되어 있습니다.

• 활성 디렉토리 소스와 Sun Directory Server Source 간에 수정, 만들기 및 삭제에 대한 양방향 동기화가 설정되어 있습니다.

단방향 동기화를 수행하려면 다음을 수행합니다.

1. 동기화를 중지합니다.

   idsync stopsync -w - -q -

2. 활성 디렉토리 소스를 다시 동기화합니다. 또한 수정, 만들기 및 삭제를 다시 동기화합니다.

   idsync resync -c -x -o Sun -l AD -w - -q -

3. 동기화를 다시 시작합니다.

   idsync startsync -w - -q -

디렉토리 소스별 복구 절차

다음 절차는 특정 디렉토리 소스에 해당합니다.

Microsoft Active Directory

백업에서 활성 디렉토리를 복원할 수 있으면 양방향 또는 단방향 동기화를 설명하는 절의 절차를 수행하십시오.

그러나 심각한 실패 후에는 다른 도메인 컨트롤러를 사용해야 할 수도 있습니다. 이 경우 위 단계를 수행하여 활성 디렉토리 커넥터의 구성을 업데이트합니다.

도메인 컨트롤러를 변경하려면 다음을 수행합니다.

1. Identity Synchronization for Windows 관리 콘솔을 시작합니다.

2. 구성 탭을 선택합니다. 디렉토리 소스 노드를 확장합니다.

3. 해당하는 활성 디렉토리 소스를 선택합니다.

4. 컨트롤러 편집을 누른 다음 새 도메인 컨트롤러를 선택합니다.

   선택한 도메인 컨트롤러를 도메인의 NT PDC FSMO 역할 소유자로 지정합니다.

5. 구성을 저장합니다.

6. 활성 디렉토리 커넥터가 실행되고 있는 호스트에서 Identity Synchronization 서비스를 중지합니다.

7. ServerRoot/isw-hostname/persist/ADPxxx에서 디렉토리를 제외한 모든 파일을 삭제합니다. 여기서 xxx는 활성 디렉토리 커넥터 식별자의 숫자 부분입니다.

   예를 들어, 활성 디렉토리 커넥터 식별자가 CNN100일 경우 100입니다.

8. 활성 디렉토리 커넥터가 실행되고 있는 호스트에서 Identity Synchronization 서비스를 시작합니다.

9. 단방향 또는 양방향 동기화 절의 동기화 흐름에 따라 단계를 수행합니다.

페일오버 및 디렉토리 서버

레트로 변경 로그 데이터베이스, 동기화된 사용자가 있는 데이터베이스 또는 둘 다 심각한 실패의 영향을 받을 수 있습니다.

디렉토리 서버 페일오버를 관리하려면 다음을 수행합니다.

1. 레트로 변경 로그 데이터베이스

   디렉토리 서버 커넥터에서 처리할 수 없는 변경이 레트로 변경 로그 데이터베이스에서 발생했을 수 있습니다. 백업에 처리되지 않은 일부 변경 사항이 있을 경우에만 레트로 변경 로그 데이터베이스의 복원이 수행됩니다. ServerRoot/isw-hostname/persist/ADPxxx/accessor.state 파일의 가장 최근 항목을 백업의 마지막 changenumber와 비교합니다. accessor.state의 값이 백업의 changenumber보다 크거나 같을 경우 데이터베이스를 복원하지 마십시오. 대신 데이터베이스를 다시 만듭니다.

   레트로 변경 로그 데이터베이스를 다시 만든 후에는 idsync prepds를 실행하는지 확인합니다. 또는 Identity Synchronization for Windows 관리 콘솔의 Sun Directory Source 창에서 디렉토리 서버 준비를 누릅니다.

   디렉토리 서버 커넥터에서 레트로 변경 로그 데이터베이스가 다시 생성됨을 감지하고 경고 메시지를 기록합니다. 이 메시지는 무시해도 됩니다.

2. 동기화된 데이터베이스

   동기화된 데이터베이스에 대해 백업을 사용할 수 없으면 디렉토리 서버 커넥터를 다시 설치해야 합니다.

   동기화된 데이터베이스를 백업에서 복원할 수 있는 경우 양방향 또는 단방향 동기화 절의 절차를 수행하십시오.

알려진 Identity Synchronization for Windows 문제점

이 절에는 알려진 문제점이 나열되어 있습니다. 알려진 문제점은 변경 요청 번호와 연관되어 있습니다.

6388815

현재 중첩 그룹 동기화가 지원되지 않기 때문에 중첩 그룹을 동기화하려고 하면 활성 디렉토리 커넥터와 디렉토리 서버 커넥터가 충돌합니다.

6594767

Microsoft Windows를 실행하는 시스템에 도메인 컨트롤러가 설치된 상태에서 새 서버를 작성하거나 웹 콘솔에서 기존 서버를 등록하는 동안 인증이 실패합니다. 이 문제를 해결하려면 도메인 컨트롤러의 도메인 이름을 사용하여 userID를 지정합니다.

4997513

Windows 2003 시스템에서는 사용자가 다음 로그인 시 비밀번호를 변경해야 함을 나타내는 플래그가 기본적으로 설정되어 있습니다. Windows 2000 시스템에서는 이 플래그가 기본적으로 설정되어 있지 않습니다.

다음 로그인 시 사용자가 비밀번호를 변경해야 합니다 플래그를 설정한 채 Windows 2000 및 2003 시스템에서 사용자를 만든 경우 비밀번호 없이 사용자가 디렉토리 서버에 만들어집니다. 다음에 사용자가 활성 디렉토리에 로그인할 경우 사용자가 자신의 비밀번호를 변경해야 합니다. 변경하면 디렉토리 서버의 사용자 비밀번호가 무효화됩니다. 변경하면 다음에 해당 사용자를 디렉토리 서버에 인증할 때 요청 시 동기화를 강제 수행합니다.

사용자가 활성 디렉토리에서 자신의 비밀번호를 변경할 때까지 사용자를 디렉토리 서버에 인증할 수 없습니다.

5077227

Remote Administration 2.1이 포함된 PC Anywhere 10을 사용하여 Identity Synchronization for Windows 콘솔을 보려고 하면 문제가 발생할 수 있습니다. PC Anywhere 버전 9.2는 오류를 일으키지 않는 것으로 나타났습니다. 문제가 지속되면 원격 관리 소프트웨어를 제거하십시오. 또는 VNC를 사용할 수 있습니다. Identity Synchronization for Windows 콘솔을 표시할 때 VNC가 문제를 일으키지 않는 것으로 알려져 있습니다.

5097751

FAT 32 시스템으로 포맷된 Windows 시스템에 Identity Synchronization for Windows를 설치할 경우 ACL을 사용할 수 없습니다. 그리고 설치에 적용되는 액세스 제한 사항은 없습니다. 보안을 보장하려면 Windows NTFS 시스템만 사용하여 Identity Synchronization for Windows를 설치하십시오.

6254516

명령줄을 사용하여 소비자에서 디렉토리 서버 플러그인을 구성한 경우 플러그인이 해당 소비자에 대해 새로운 하위 구성 요소 아이디를 만들지 않습니다. 플러그인 구성은 소비자에 대해 새 아이디를 만들지 않습니다.

6288169

accountlock 및 passwordRetryCount를 확인하기 전에 동기화되지 않은 계정에 대해 Identity Synchronization for Windows용 비밀번호 동기화 플러그인은 활성 디렉토리에 바인딩하려고 합니다.

이 문제를 해결하려면 LDAP 서버에서 비밀번호 정책을 실행합니다. 또한 사용자 검색에서 다음 필터를 사용하도록 액세스 관리자를 구성합니다.

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

그러나 LDAP를 통해 너무 많은 로그인 시도를 할 경우 이 해결 방법에서 사용자를 찾을 수 없다는 오류가 발생합니다. 이 해결 방법은 활성 디렉토리 계정을 차단하지 않습니다.

6331956

o=NetscapeRoot가 복제된 경우 Identity Synchronization for Windows 콘솔이 시작되지 않습니다.

6332197

아직 사용자 정보가 작성되지 않은 그룹을 디렉토리 서버에서 동기화한 경우 Identity Synchronization for Windows에서 오류가 발생합니다.

6336471

연결된 접미어를 통해 Identity Synchronization for Windows 플러그인을 검색할 수 없습니다. 따라서 디렉토리 서버 인스턴스에서 수정 및 바인드 작업을 수행할 수 없습니다.

6337018

Identity Synchronization for Windows에서 Identity Synchronization for Windows 구성을 XML 파일로 내보내기를 지원해야 합니다.

6386664

그룹 동기화 기능이 사용 가능한 경우 Identity Synchronization for Windows는 활성 디렉토리와 디렉토리 서버 간에 사용자와 그룹 정보를 동기화합니다. 명령줄에서 resync 명령을 실행한 경우에만 동기화가 정상적으로 발생합니다.

6452425

SUNWtls 패키지 버전 3.11.0이 설치된 Solaris 시스템에서 Identity Synchronization for Windows를 설치할 경우 관리 서버가 실행되지 않을 수 있습니다. 이 문제를 해결하려면 Identity Synchronization for Windows를 설치하기 전에 SUNWtls 패키지를 제거합니다.

6251334

활성 디렉토리 소스를 변경한 후에도 사용자 삭제 동기화를 중지할 수 없습니다. 따라서 동일한 활성 디렉토리 소스에서 동기화된 사용자 목록을 다른 조직 구성 단위(OU)로 매핑한 경우 삭제 동기화가 계속됩니다. 사용자는 디렉토리 서버 인스턴스에서 삭제된 것으로 나타납니다. SUL 매핑이 없는 활성 디렉토리 소스에서 사용자를 삭제하더라도 사용자는 삭제된 것으로 나타납니다.

6335193

디렉토리 서버에서 활성 디렉토리로 사용자를 동기화하기 위해 다시 동기화 명령을 실행할 수도 있습니다. 비동기화된 사용자를 비동기화된 그룹에 추가한 경우 그룹 엔티티 생성이 실패합니다.

이 문제를 해결하려면 동기화가 제대로 발생하도록 resync 명령을 두 번 실행해야 합니다.

6339444

기본 DN 창에서 찾아보기 버튼을 사용하여 동기화 사용자 목록으로 동기화 범위를 지정할 수 있습니다. 범위를 지정한 경우 하위 접미어가 검색되지 않습니다.

이 문제를 해결하려면 ACI를 추가하여 읽기 및 검색에 대한 익명 액세스를 허용합니다.

6379804

Windows 시스템에서 Identity Synchronization for Windows의 코어 구성 요소를 1.1 SP1 버전으로 업그레이드하는 동안 updateCore.bat 파일에 Administration Server에 대한 잘못된 참조가 하드 코드되어 있습니다. 따라서 업그레이드 프로세스가 제대로 완료되지 않습니다.

이 문제를 해결하려면 업그레이드 스크립트에서 Administration Server에 대한 참조의 두 인스턴스를 교체합니다.

업그레이드 스크립트의 51 및 95 줄에서 다음 명령을 교체하십시오. 다음과 같이 줄을 변경합니다.

net stop "Sun Java(TM) System Administration Server 5.2"

위의 줄이 다음과 같이 표시되어야 합니다.

net stop admin52-serv

지정한 변경을 한 후 업그레이드 스크립트를 다시 실행하십시오.

6388872

활성 디렉토리에 대한 디렉토리 서버의 Windows 작성 표현식의 경우 cn=%cn% 흐름이 사용자와 그룹 모두에 적용됩니다. 다른 모든 조합의 경우 동기화 중에 Identity Synchronization for Windows에서 오류가 발생합니다.

6332183

삭제가 이루어지기 전에 디렉토리 서버에서 활성 디렉토리로 추가 작업이 이루어지고 있는 경우 사용자가 이미 있음을 나타내는 예외를 Identity Synchronization for Windows에서 로깅할 수 있습니다. 동기화 중에 삭제 작업 전에 추가 작업이 수행되는 경쟁 조건이 발생합니다. 따라서 활성 디렉토리에서 예외를 기록하게 됩니다.

예를 들어, 사용자 dn: user1, ou=isw_data가 기존 그룹 dn: DSGroup1,ou=isw_data에 추가된 경우 사용자를 그룹에서 삭제하면 그룹의 uniquemember가 수정됩니다. 동일한 사용자가 동일한 DN을 가진 그룹에 추가된 경우(userdn: user1, ou=isw_data) 추가 작업이 수행됩니다. 이 시점에서 Identity Synchronization for Windows는 사용자가 이미 있다는 예외를 기록할 수 있습니다.

6444341

Identity Synchronization for Windows 제거 프로그램이 현지화되어 있지 않습니다. WPSyncResources_X.properties 파일이 /opt/sun/isw/locale/resources 디렉토리에 설치되지 않습니다.

이 문제를 해결하려면 installer/locale/resources 디렉토리에서 누락된 WPSyncResources_X.properties 파일을 직접 복사합니다.

6444878

관리 서버를 실행하기 전에 Java Development Kit 1.5.0_06을 설치 및 설정합니다.

6444896

Identity Synchronization for Windows의 텍스트 기반 설치를 수행할 때 관리자 비밀번호를 비워두고 return을 입력하면 설치 프로그램이 종료됩니다.

6452538

Windows 플랫폼에서는 Identity Synchronization for Windows가 사용하는 Message Queue 3.5에 길이가 1KB 미만인 PATH 값이 필요합니다. 더 긴 값은 잘립니다.

6486505

Windows에서 Identity Synchronization for Windows는 영어와 일본어 로켈만 지원합니다.

6477567

Directory Server Enterprise Edition 6.3에서 Identity Synchronization for Windows용 디렉토리 서버 플러그인이 디렉토리 서버 설치와 함께 설치됩니다. Identity Synchronization for Windows 설치 프로그램은 디렉토리 서버 플러그인을 설치하지 않습니다. 대신 Identity Synchronization for Windows는 플러그인을 구성만 합니다.

이 릴리스의 Identity Synchronization for Windows에서 텍스트 기반 설치 프로그램은 설치 프로세스 중에 Identity Synchronization for Windows용 디렉토리 서버 플러그인을 구성하도록 요청하지 않습니다. 해결책으로 Identity Synchronization for Windows 설치가 완료된 후 터미널 창에서 Idsync dspluginconfig 명령을 실행합니다.

6472296

Windows 시스템에서 일본어 로켈로 설치하는 경우 Identity Synchronization for Windows 사용자 인터페이스가 완전히 현지화되지 않습니다.

이 문제를 해결하려면 설치를 시작하기 전에 PATH 환경 변수에 unzip.exe를 포함시킵니다.

6485333

Windows 시스템의 설치 프로그램 및 제거 프로그램이 국제화되지 않았습니다.

6492125

Identity Synchronization for Windows 온라인 도움말 내용에 CCK 로켈에 대한 멀티바이트 문자 대신 사각형 상자가 표시됩니다.

6501874

디렉토리 서버 비밀번호 호환 모드 pwd-compat-mode를 DS6-migration-mode 또는 DS6-mode로 설정할 때 디렉토리 서버에서 활성 디렉토리로의 계정 잠금 동기화가 실패합니다.

6501886

활성 디렉토리 도메인 관리자 비밀번호가 변경되면 Identity Synchronization for Windows 콘솔에서 경고를 표시하는 것으로 나타났습니다. 올바른 비밀번호를 사용하는 경우에도 Invalid credentials for Host-hostname.domainnname 경고가 표시됩니다.

6529349

Solaris SPARC의 경우 Identity Synchronization for Windows는 /usr/share/lib/mps//jss4.jar 파일이 없기 때문에 제거되지 않을 수 있습니다. 이 현상은 설치 프로그램이 SUNWjss 패키지의 이미 설치된 인스턴스를 감지했지만 업데이트하지 않은 경우 제품의 설치 과정에서만 발생합니다.

이 문제를 해결하려면 제품이 설치되는 동안 Java 클래스 경로에 /usr/share/lib/mps/secv1/jss4.jar을 추가합니다.

$JAVA_EXEC -Djava.library.path=./lib \ -classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\ ${SUNWjss}/usr/share/lib/mps/jss4.jar:\ ${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\ ./lib/ldap.jar:./lib/webstart.jar:\ ${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\ ./resources:./locale/resources:./lib/common.jar:\ ./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \ -Djava.util.logging.config.file=./resources/Log.properties \ -Djava.util.logging.config.file=../resources/Log.properties \ -Dcom.sun.directory.wps.logging.redirectStderr=false \ -Dcom.sun.directory.wps.logging.redirectStdout=false \ uninstall_ISW_Installer $1

6572575

resync 동안 그룹 동기화가 성공적으로 작동하도록 하려면 사용자와 그룹이 모두 동기화 범위에서 동일한 수준에 있어야 합니다. 그렇지 않으면 오류가 표시됩니다.