Sun Java System Directory Server Enterprise Edition 6.3 版本說明

第 5 章 Identity Synchronization for Windows 中已修正的錯誤與已知問題

本章包含 Identity Synchronization for Windows 發行時的重要產品特定資訊。

本章包含以下各節:

Identity Synchronization for Windows 中已修正的錯誤

本節列出自 Identity Synchronization for Windows 上一個版本以來已修正的錯誤。

6600668/6611925

如果在 x86/AMD 系統上安裝 Identity Synchronization for Windows 6.0,則目錄伺服器連接器無法進入同步化模式。

6557128

Identity Synchronization for Windows 外掛程式在嘗試使用過時的連線記錄事件時,會導致主機目錄伺服器當機。

6595244

WatchList.properties 檔案中設定除錯記錄時,除錯記錄擲回錯誤。

Identity Synchronization for Windows 中的已知問題與限制

本節列出發行時已知的問題與限制。

Identity Synchronization for Windows 限制

本節列出產品限制。限制不一定與變更請求號碼相關。

Identity Synchronization for Windows 需要 sun-sasl-2.19-4.i386.rpm 來成功安裝。

在 Linux 上,在安裝 Identity Synchronization for Windows 之前,請確定 sun-sasl-2.19-4.i386.rpm 套裝軟體已安裝在您的系統上。否則 Identity Synchronization for Windows 的安裝會失敗。您可以從 JES 5 發行檔案或更新版本的共用元件中取得 SASL 套裝軟體。

請勿手動變更檔案權限。

變更已安裝之 Directory Server Enterprise Edition 產品檔案權限,有時會使軟體無法正確運作。

若要解決此限制,請以具有適當使用者與群組權限的使用者身份安裝產品。

Identity Synchronization for Windows 核心服務沒有容錯移轉功能。

已安裝 Identity Synchronization for Windows 核心服務的系統一旦損毀,即必須重新安裝。Identity Synchronization for Windows 核心服務並沒有容錯移轉功能。

請以 LDIF 格式備份 ou=services (Identity Synchronization for Windows DIT 的配置分支),並在重新安裝 Identity Synchronization for Windows 時使用此項資訊。

Microsoft Windows 2003 SP1 的認證運作方式變更。

安裝 Windows 2003 SP1 時,依預設使用者有一小時可使用其舊密碼存取帳號。

因此,當使用者在 Active Directory 上變更其密碼時,隨選同步化屬性 dspswvalidate 即會設為 True,而舊密碼可用以對目錄伺服器進行認證。此時,在目錄伺服器上同步化的密碼是先前的舊密碼,而不是目前的 Active Directory 密碼。

如需有關如何關閉此功能的詳細資訊,請參閱 Microsoft Windows 支援文件

移除管理伺服器前,請先移除 serverroot.conf

若要解除安裝管理伺服器,請先移除 /etc/mps/admin/v5.2/shared/config/serverroot.conf,再移除管理伺服器套裝軟體。

CLASSPATH 中提及 admin jar 路徑

CLASSPATH 應包含 admin jar 的位置,否則會在重新同步化期間顯示 noClassDefFound 錯誤。

在系統或應用程式失敗時執行資料回復

在硬體或應用程式失敗後,可能必須從某些同步化目錄來源的備份,復原備份的資料。

但完成資料回復後,還必須執行其他程序才能確保同步化可正常進行。

連接器通常保有傳遞至訊息佇列之最新變更的相關資訊。

此項稱為連接器狀態的資訊,可用以決定連接器必須由其目錄來源讀取的後續變更。若同步化目錄來源的資料庫已從備份完成復原,則連接器狀態即可能不再有效。

適用於 Active Directory 與 Windows NT 的 Window 連接器也會保存內部資料庫。資料庫是同步化資料來源的副本。資料庫可用以判斷連線之資料來源有何變更。一旦連線的 Windows 來源從備份完成復原後,內部資料庫即不再有效。

一般而言,idsync resync 指令可用以重新寫入已回復的資料來源。


備註 –

重新同步化無法用以同步化密碼,但有一例外情形。-i ALL_USERS 選項可讓目錄伺服器中的密碼失去效力。若重新同步化的資料來源為 Windows,上述作業即可行。SUL 清單也必須只包含 Active Directory 系統。


但在任何情況下,使用 idsync resync 指令都可能是無法接受的作業。


注意 – 注意 –

執行接下來詳述的任何步驟之前,請先確實停止同步化。


雙向同步化

依據同步化設定,使用 idsync resync 指令與適當的修飾鍵設定。使用回復的目錄來源做為 resync 作業的目標。

單向同步化

若回復的資料來源為同步化目標,則可依照雙向同步化的相同程序進行作業。

若回復的資料來源為同步化來源,則仍可使用 idsync resync 重新寫入回復的目錄來源。您不需在 Identity Synchronization for Windows 配置中變更同步化流程設定。idsync resync 指令可讓您透過 -o Windows|Sun 選項設定同步化流程,而不需考量已配置的流程。

以下列方案為例。

設定了目錄伺服器與 Active Directory 之間的雙向同步化。

Procedure執行單向同步化

  1. 停止同步化。


    idsync stopsync -w - -q -
  2. 重新同步化 Active Directory 來源。同時重新同步化修改、建立與刪除。


    idsync resync -c -x -o Sun -l AD -w - -q -
  3. 重新啟動同步化。


    idsync startsync -w - -q -

目錄來源的特定回復程序

下列程序適用於特定的目錄來源。

Microsoft Active Directory

若可從備份復原 Active Directory,請依照雙向或單向同步化相關章節所提供的程序進行作業。

但在嚴重的失敗後,可能必須使用不同的網域控制器。在此情況下,請依照下列步驟更新 Active Directory 連接器的配置。

Procedure變更網域控制器

  1. 啟動 Identity Synchronization for Windows 管理主控台。

  2. 選取 [配置] 標籤。展開 [目錄來源] 節點。

  3. 選取適當的 Active Directory 來源。

  4. 按一下 [編輯控制器],然後選取新的網域控制器。

    將所選的網域控制器做為網域的 NT PDC FSMO 角色所有者。

  5. 儲存配置。

  6. 在執行 Active Directory 連接器的主機上,停止 Identity Synchronization 服務。

  7. 刪除所有檔案,但 ServerRoot/isw-hostname/persist/ADPxxx 下的目錄除外。其中,xxx 為 Active Directory 控制器識別碼的數字部分。

    例如,若 Active Directory 控制器識別碼為 CNN100,數字部分即為 100

  8. 在執行 Active Directory 連接器的主機上,啟動 Identity Synchronization 服務。

  9. 依據單向或雙向同步化章節中所提供的同步化流程,執行必要的步驟。

容錯移轉與目錄伺服器

回溯變更記錄資料庫與具有同步化使用者的資料庫,可能同時或分別受到嚴重失敗的影響。

Procedure管理目錄伺服器容錯移轉

  1. 回溯變更記錄資料庫。

    回溯變更記錄資料庫中可能出現目錄伺服器連接器無法處理的變更。復原回溯變更記錄資料庫,只會在備份中含有部分未處理的變更時發揮效用。請比較 ServerRoot/isw-hostname/persist/ADPxxx/accessor.state 檔案中最新的項目與備份中最新的 changenumber。若 accessor.state 中的值大於或等於備份中的 changenumber,請勿復原資料庫。此時應重建資料庫。

    重新建立回溯變更記錄資料庫之後,請務必執行 idsync prepds。或者,您可以從 Identity Synchronization for Windows 管理主控台的 [Sun 目錄來源] 視窗中,按一下 [準備目錄伺服器]。

    目錄伺服器連接器會偵測回溯變更記錄資料庫是否已重建,並記錄警告訊息。您可以放心地忽略此訊息。

  2. 同步化的資料庫。

    若沒有備份可供同步化資料庫使用,即必須重新安裝目錄伺服器連接器。

    如果同步化的資料庫可從備份復原,請遵循在雙向或單向同步化小節中的程序作業。

已知的 Identity Synchronization for Windows 問題

本節列出已知問題。這些已知問題與變更請求號碼相關。

6388815

嘗試進行巢式群組的同步化時,因為目前已不支援此類同步化作業,所以 Active Directory 連接器與目錄伺服器連接器發生當機。

6594767

在執行 Microsoft Windows 且安裝網域控制器的機器上,使用 Web 主控台建立新的伺服器或註冊現有的伺服器時,認證會失敗。若要解決此問題,請使用網域控制器的網域名稱指定使用者 ID。

4997513

在 Windows 2003 系統上,指出使用者必須在下次登入時變更其密碼的旗標,預設為啟用。Windows 2000 系統的該旗標則預設為不啟用。

當您在設定了使用者必須在下次登入時變更密碼旗標的 Windows 2000 與 2003 系統上建立使用者時,將會在目錄伺服器上建立不含密碼的使用者。使用者在下次登入 Active Directory 時,即必須變更其密碼。此密碼變更後,目錄伺服器上的密碼即會失效。進行此變更後,這些使用者在下次對目錄伺服器進行認證時,會強制執行隨選同步化。

使用者必須在變更 Active Directory 上的密碼後,才能對目錄伺服器進行認證。

5077227

嘗試使用 PC Anywhere 10 搭配 Remote Administration 2.1 檢視 Identity Synchronization for Windows 主控台時,可能會發生問題。PC Anywhere 9.2 版則不會產生錯誤。若問題仍無法解決,請移除遠端管理軟體。或者使用 VNC。VNC 在顯示 Identity Synchronization for Windows 主控台時並不會產生任何問題。

5097751

若您在使用 FAT 32 系統進行格式化的 Windows 系統上安裝 Identity Synchronization for Windows,則沒有 ACL 可供使用。此外,此項設定也沒有存取限制。為確保安全性,請一律使用 Windows NTFS 系統安裝 Identity Synchronization for Windows。

6254516

使用指令行對用戶配置目錄伺服器外掛程式時,此外掛程式將不會為用戶建立新的子元件 ID。外掛程式配置不會為用戶建立新的 ID。

6288169

Identity Synchronization for Windows 的密碼同步化外掛程式於未檢查 accountlockpasswordRetryCount 之前,即嘗試針對未同步化的帳號連結至 Active Directory。

若要解決此問題,請在 LDAP 伺服器上執行密碼策略。此外,請配置「存取管理員」於使用者搜尋中使用下列篩選器:

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

但此解決方法會在嘗試透過 LDAP 登入的次數太頻繁時,擲出找不到使用者的錯誤。此解決方法不會封鎖 Active Directory 帳號。

6331956

若複寫 o=NetscapeRoot,Identity Synchronization for Windows 主控台即無法啟動。

6332197

在目錄伺服器上同步化群組時,若群組中含有尚未建立之使用者的使用者資訊,Identity Synchronization for Windows 即會擲出錯誤。

6336471

Identity Synchronization for Windows 外掛程式無法透過鏈結的尾碼進行搜尋。因此,無法對目錄伺服器實例執行修改與連結作業。

6337018

Identity Synchronization for Windows 應支援將 Identity Synchronization for Windows 配置匯出為 XML 檔案的作業。

6386664

啟用群組同步化功能時,Identity Synchronization for Windows 即會同步化 Active Directory 與目錄伺服器之間的使用者及群組資訊。只有從指令行發出 resync 指令後,才可順利執行同步化作業。

6452425

若在安裝了 SUNWtls 套裝軟體 3.11.0 版的 Solaris 系統上安裝 Identity Synchronization for Windows,管理伺服器可能無法啟動。若要解決此問題,請先解除安裝 SUNWtls 套裝軟體,再安裝 Identity Synchronization for Windows。

6251334

即使在變更 Active Directory 來源後,仍無法停止使用者刪除同步化。因此,只要「同步化使用者清單」對映至相同 Active Directory 來源中不同組織單位 (OU),刪除同步化作業就會繼續進行。使用者似乎已從目錄伺服器實例中刪除。即便使用者是從不具有 SUL 對映的 Active Directory 來源中刪除,其仍顯示為已刪除。

6335193

您可以嘗試執行同步化指令,以進行目錄伺服器至 Active Directory 的使用者同步化。若將未同步化的使用者增加到未同步化的群組中時,建立群組實體的作業即會失敗。

若要解決此問題,應執行兩次 resync 指令,使同步化能正確進行。

6339444

您可以使用 [基底 DN] 窗格上的 [瀏覽] 按鈕,透過 [同步化使用者清單] 指定同步化的範圍。當您指定範圍時,即不會擷取子尾碼。

若要解決此問題,請增加 ACI,以允許匿名存取的讀取與搜尋。

6379804

在 Windows 系統上將 Identity Synchronization for Windows 的核心元件升級為 1.1 SP1 版時,updateCore.bat 檔案包含了程式內建之管理伺服器的錯誤參照。升級程序因此無法順利完成。

若要解決此問題,請在升級程序檔中換掉兩個管理伺服器參照實例。

請取代升級程序檔中第 51 行與 95 行的下列指令。變更下列數行。

net stop "Sun Java(TM) System Administration Server 5.2"

此行應改為:

net stop admin52-serv

進行指定的變更後,請重新執行升級程序檔。

6388872

就目錄伺服器中對 Active Directory 的 Windows 建立表示式而言,流程 cn=%cn% 同時適用於使用者與群組。若是其他各式組合,Identity Synchronization for Windows 會在同步化期間顯示錯誤。

6332183

若「增加」動作在「刪除」之前從目錄伺服器傳送至 Active Directory,Identity Synchronization for Windows 即可能會記錄異常,指出使用者已存在。在同步化期間,若增加作業比刪除作業早執行,即可能產生競爭的情況,而使得 Active Directory 記錄異常。

例如,如果將使用者 (dn: user1, ou=isw_data) 增加至現有的群組 (dn: DSGroup1,ou=isw_data),則從群組中刪除該使用者時,即會修改群組的 uniquemember。如果相同的使用者增加至相同 DN 的群組 (userdn: user1, ou=isw_data),即會執行「增加」作業。此時,Identity Synchronization for Windows 即可能會記錄異常,指出使用者已存在。

6444341

Identity Synchronization for Windows 解除安裝程式未本土化。WPSyncResources_X.properties 檔案無法安裝在 /opt/sun/isw/locale/resources 目錄中。

若要解決此問題,請手動從 installer/locale/resources 目錄中複製缺少的 WPSyncResources_X.properties 檔案。

6444878

在執行管理伺服器前安裝及設定 Java Development Kit 1.5.0_06 版。

6444896

在執行文字型的 Identity Synchronization for Windows 安裝時,若將管理員密碼保留為空白並按換行鍵,將導致安裝程式結束。

6452538

在 Windows 平台上,Identity Synchronization for Windows 所使用的 Message Queue 3.5 必須使用長度小於 1 KB 的 PATH 值。超出此長度的值將遭截斷。

6486505

在 Windows 上,Identity Synchronization for Windows 僅支援英文與日文兩種語言環境。

6477567

在 Directory Server Enterprise Edition 6.3 中,Identity Synchronization for Windows 的目錄伺服器外掛程式會在目錄伺服器安裝作業中一併安裝。Identity Synchronization for Windows 安裝程式不會安裝目錄伺服器外掛程式。Identity Synchronization for Windows 只會配置外掛程式。

在此版本的 Identity Synchronization for Windows 中,文字型安裝程式不會在安裝程序中提示您配置 Identity Synchronization for Windows 的目錄伺服器外掛程式。若要解決此問題,請在 Identity Synchronization for Windows 安裝完成後,在終端機視窗中執行 Idsync dspluginconfig 指令。

6472296

在 Windows 系統上以日文語言環境完成安裝後,Identity Synchronization for Windows 使用者介面並未完全本土化。

若要解決此問題,請於開始安裝前,先在 PATH 環境變數中加入 unzip.exe

6485333

Windows 系統上的安裝程式與解除安裝程式未國際化。

6492125

Identity Synchronization for Windows 線上說明內容在 CCK 語言環境中會以方格顯示多位元組字元。

6501874

當目錄伺服器密碼相容性模式 pwd-compat-mode 設為 DS6-migration-modeDS6-mode 時,無法執行目錄伺服器至 Active Directory 的帳號封鎖同步化。

6501886

Active Directory 網域管理員密碼變更時,Identity Synchronization for Windows 主控台會顯示警告。顯示的警告為主機 hostname.domainnname 的憑證無效,即便使用有效的密碼,仍是如此。

6529349

在 Solaris SPARC 上,Identity Synchronization for Windows 可能由於缺少 /usr/share/lib/mps//jss4.jar 檔案,而無法解除安裝。此問題僅會在產品安裝期間,當安裝程式偵測到 SUNWjss 套裝軟體有已安裝的實例且未更新時發生。

解決方法是在安裝產品時,在 Java 類別路徑中增加 /usr/share/lib/mps/secv1/jss4.jar


$JAVA_EXEC -Djava.library.path=./lib \
-classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\
${SUNWjss}/usr/share/lib/mps/jss4.jar:\
${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\
./lib/ldap.jar:./lib/webstart.jar:\
${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\
./resources:./locale/resources:./lib/common.jar:\
./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \
-Djava.util.logging.config.file=./resources/Log.properties \
-Djava.util.logging.config.file=../resources/Log.properties \
-Dcom.sun.directory.wps.logging.redirectStderr=false \
-Dcom.sun.directory.wps.logging.redirectStdout=false \
uninstall_ISW_Installer $1
6572575

若要群組同步化在 resync 期間能順利執行,同步化範圍中的使用者和群組皆需位於相同層級。否則會顯示錯誤。