| Oracle Fusion Middleware Oracle Identity Management統合ガイド 11gリリース1(11.1.1) B55920-01 |
|
 戻る |
 次へ |
この付録では、Oracle Directory Integration Platformの使用時に発生する可能性のある一般的な問題とその解決策について説明します。内容は次のとおりです。
|
関連項目:
|
Oracle Directory Integration Platformの問題をトラブルシューティングする際は、次のチェックリストを使用します。
WebLogicを使用して、Oracle Directory Integration Platformアプリケーションがデプロイされているか確認します。
Oracle Directory Integration Platformアプリケーションが稼働していることを確認します。
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformアプリケーションのステータスを確認するには、Webブラウザを開き、使用する環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
使用する環境のOracle Enterprise Manager Fusion Middleware Controlのホームページに含まれる「Fusion Middleware」セクションの「ステータス」列で、Oracle Directory Integration Platformアプリケーションのステータスを確認できます。
コマンドラインからOracle Directory Integration Platformアプリケーションのステータスを確認するには、dipStatusユーティリティを使用します。Oracle Directory Integration Platformが稼働している場合は、dipStatusにより、「ODIPアプリケーションがこのホストおよびポートでアクティブです。」というメッセージが返されます。
|
注意:
|
次のようにmanageSyncProfilesコマンドを使用してプロファイルの名前とステータスをリストすることで、適切なプロファイルが有効化されているか確認します。
manageSyncProfiles list -h host -p port -D user [-prfSt] [-help]
|
注意: パスワードを要求されます。 |
次のコマンドを実行して、サード・パーティのLDAPディレクトリ・サーバーが稼働しているかどうかを確認します。
ldapbind -h ldap_host -p ldap_port -D binddn -q
|
注意: パスワードを要求されます。 |
PL/SQLプラグインを使用している場合、sqlplusを使用してプロビジョニング統合アプリケーションへの接続状況を検証します。
DIP Testerユーティリティは、Oracle Directory Integration Platformコネクタと同期するOracle Internet Directory実装の構成、テストおよびデバッグに役立つプラットフォームに依存しないスタンドアロンJavaアプリケーションです。このユーティリティでは、プロファイルの変更にmanageSyncProfilesコマンドを使用し、多くの操作に標準のLDAPツール(ldapadd、ldapmodify、ldapdeleteおよびldapsearch)を使用します。DIP Testerユーティリティは、Solaris、LinuxおよびWindowsプラットフォーム用のOracle Fusion Middleware 11gリリース11(11.1.1)において、Oracle Internet Directoryリリース10g(9.0.4)でテストされています。DIP Testerは、Oracle Technology Network(http://www.oracle.com/technology/index.html)からダウンロードできます。ダウンロードの内容には、グラフィカル・ユーザー・インタフェース(GUI)版とコマンドライン版のDIP Testerユーティリティが含まれます。どちらのバージョンも、単一のインストール・スクリプトで自動的にインストールされます。
この付録のトラブルシューティングの手順に従うと、DIP Testerを使用して、次のことができます。
ディレクトリ統合プロファイルの変更
ログ・ファイルの表示
テスト・エントリの作成
最後に適用された変更キーの取得または設定
エントリ・プロファイルの内容のダンプ
マップ・ファイルのリロード
Oracle Directory Integration Platformの起動と停止
トレース・ファイルでのOracleサポートにアップロードするためのエラーの取得
ユーザーの初期ブートストラップの実行
|
注意: Oracle Directory Integration Platformでは、同期を実行する際、最後に適用された変更キーを読み取り、値をキャッシュします。次の同期の間隔で、Oracle Directory Integration Platformは、最終実行時間と、最後に適用された変更キーのキャッシュされた値により、Oracle Internet Directoryを更新します。最後に適用された変更キーを同期プロファイル内で手動で変更する前に、必ずOracle Directory Integration Platformを停止してください。停止しないと、次の間隔で、変更がキャッシュ内の値により上書きされてしまいます。実際、同期プロファイルで値を変更する場合には、その前に必ずOracle Directory Integration Platformを停止してください。 |
DIP Testerユーティリティは、$ORACLE_HOME/binディレクトリにインストールされます。
|
関連項目: DIP Testerユーティリティのインストール先ディレクトリにあるREADME.txtと『DIP Tester User's Guide』 |
この項では、Oracle Directory Integration Platformの一般的な問題とその解決策について説明します。内容は次のとおりです。
この項では、プロビジョニングのエラーと問題の解決策を示します。
問題
GUIDからエントリを取得できません。致命的なエラー...
解決策
Oracle Directory Integration Platformが、削除されてまだパージされていないように見えるエントリを取得しようとしています。しかし、このエラーが発生したとき、エントリはすでにパージされています。それ以降にエラーが発生しないようにするには、Oracle Internet Directoryガベージ・コレクション・フレームワークでtombstoneパージ構成の設定を更新します。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の「ガベージ・コレクションの管理」の章を参照してください。
問題
LDAP接続失敗
解決策
Oracle Directory Integration Platformがディレクトリ・サーバーへの接続に失敗しました。ディレクトリ・サーバーへの接続をチェックしてください。
|
関連項目: ディレクトリ・サーバーの接続の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のディレクトリ・サーバーの管理に関する章を参照してください。 |
問題
初期化とデータベース接続の失敗、およびSQL操作のコール中の例外が発生しました。
解決策
接続をテストするには、Oracle Enterprise Manager Fusion Middleware Controlでそのプロファイルに対する「接続テスト」機能を使用します。接続が失敗した場合は、次の場所にある診断ログで詳細情報を確認してください。
$WL_HOME/user_projects/domains/DOMAIN_NAME/servers/ SERVER_NAME/logs/SERVER_NAME-diagnostic.log
問題
プロビジョニング・プロファイルをDIPプロビジョニング・サーバーで実行できません。
解決策
Oracle Enterprise Manager Fusion Middleware Controlまたはoidprovtoolコマンドを使用して、プロファイルが有効であること、およびOracle Directory Integration Platformのスケジューリング間隔が正の整数に設定されていることを確認してください。
問題
アプリケーション・データベースに接続できません。
解決策
プロビジョニング・プロファイルで、アプリケーション・データベースの接続要件が正しく指定されていない可能性があります。sqlplusを使用して、接続要件を確認します。
問題
ユーザーまたはグループの変更イベントおよび削除イベントがアプリケーションで使用されません。
解決策
Oracle Enterprise Manager Fusion Middleware Controlで、そのプロファイルに対する「接続テスト」機能を使用して、ホスト・ポートの詳細および資格証明を検証してください。「接続テスト」オプションを使用した後で接続が失敗した場合は、失敗した接続に関する情報がエラー・メッセージに表示されます。
失敗した接続の詳細を参照するには、Oracle Enterprise Manager Fusion Middleware Controlを使用するか、コマンドラインから、診断ログを確認します。診断ログは次の場所にあります。
$WL_HOME/user_projects/domains/DOMAIN_NAME/servers/ SERVER_NAME/logs/SERVER_NAME-diagnostic.log
問題
バイナリ属性に対するサブスクリプションにより、イベント伝播エラーが発生しました。
解決策
バイナリ属性の伝播はサポートされていません。プロビジョニング・ファイルのイベント・サブスクリプションから、バイナリ属性の指定を削除します。
問題
アプリケーション識別名としてプロキシの役割を果すには不十分なアクセス権限。
解決策
Oracle Directory Integration Platform Serverグループは、アプリケーション識別名によって参照権限を付与されていません。ldapmodifyコマンドを使用して、次のACIをロードします。これにより、アプリケーション識別名からOracle Directory Integration Platformグループに対する参照権限を付与します。
orclaci: access to attr=(*) by group="cn=odisgroup,cn=DIPAdmins,cn=Directory Integration Platform,cn=products,cn=oraclecontext "(read,write,search,compare) orclaci: access to entry by group="cn=odisgroup,cn=DIPAdmins,cn=Directory Integration Platform,cn=products,cn=oraclecontext"(browse,proxy)
問題
アプリケーション識別名をプロキシとして使用するには不十分なアクセス権限。
解決策
Oracle Directory Integration Platform Serverグループは、アプリケーション識別名によってプロキシ権限を付与されていません。ldapmodifyコマンドを使用して、次のACIをロードします。これにより、アプリケーション識別名からOracle Directory Integration Platformグループに対するプロキシ権限を付与します。
orclaci: access to entry by group=" cn=odisgroup, cn=odi,cn=oracle internet directory" (browse,proxy)
この項では、同期のエラーと問題の解決策を示します。
|
関連項目: My Oracle Support(旧MetaLink)のNote 276481.1—「Troubleshooting OID DIP Synchronization Issues」(http://metalink.oracle.com/) |
問題
LDAP: エラー・コード50 - 不十分なアクセス権限; 残りの名前 'CN=Users,dc=mycompany,dc=com'
解決策
レコード・ターゲットがデフォルトのコンテナにありません。DST CHANGE RECORDを検索します。ACIでターゲット・コンテナをチェックします。ACIがブランクの場合は、DIP Testerを使用して、既知のACIのセットを新しいコンテナに適用します。
問題
LDAP: エラー・コード50 - 不十分なアクセス権限; ACTIVECHGIMPマッピング、インポート操作失敗; エージェント実行成功、マッピング/IMPORT操作に失敗しました。
解決策
デフォルトでは、cn=Users,default realmに適切なACIが含まれています。ただし、このエラーは、デフォルト・レルム内の別のコンテナで同期化を試みると発生する可能性があります。トレース・ファイルを開き、エラーの原因となっている変更レコードを探し、そのレコードの親コンテナのACIをチェックします。同じACIをターゲット・コンテナに適用します。
問題
ログ・ファイル・エラー: Not able to construct DN Output ChangeRecord : Changetype: 1 ChangeKey: cn=users, dc=us,dc=oracle,dc=com Exception javax.naming. ContextNotEmptyException: [LDAP: error code 66 - Not Allowed On Non-leaf]; remaining name 'cn=users,dc=us,dc=oracle,dc=com' Missing mandatory attribute(s).
解決策
マッピング・ファイルに問題があります。My Oracle Support(旧MetaLink)のNote 261342.1 —「Understanding DIP Mapping」(http://metalink.oracle.com/)を参照してください。
問題
トレース・ファイル・エラー: IPlanetImport:Error in Mapping Enginejava.lang.NullPointerException java.lang.NullPointerException at oracle.ldap.odip.engine.Connector.setValues(Connector.java:101).
解決策
orclcondirlastappliedchgnum属性はNULLか、値がないかです。これは、ブートストラップが失敗した場合、または手動でOracle Internet Directoryにデータを移入し、orclcondirlastappliedchgnum属性に値を指定しなかった場合に発生する可能性があります。orclcondirlastappliedchgnum属性に値が指定されていることを確認します。値がない場合は、DIP Testerユーティリティを使用して値を設定するか、WLSTを使用してDIP Mbeanを構成します。
問題
追加操作と変更操作は成功しますが、削除操作は失敗し、トレース・ファイルに記録されません。
解決策1
Sun Java System Directory Serverの場合: tombstoneは無効です。My Oracle Support(旧MetaLink)のNote 219835.1(http://metalink.oracle.com/)を参照して、tombstoneが有効化されていることを確認します。
解決策2
Microsoft Active Directoryの場合: プロファイルに使用されるアカウントが、DIR SYNCH ADMINグループのメンバーではありません。これは、Microsoft Active Directory管理者アカウントを使用していない場合のみ発生します。Microsoft社が提供する適切なパッチをインストールします。
問題
Oracle Directory Integrationインポート・コネクタまたはエクスポート・コネクタをサード・パーティLDAPディレクトリに対して構成した後、データの同期の問題が発生しました。
解決策
manageSyncProfilesコマンドのtestProfile操作を使用して、原因を特定します。
問題
Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルの属性マッピング・ルールを編集すると、オブジェクト・クラスに対してスキーマが初期化されていないというエラーの原因になります。
解決策
この問題の考えられる原因は、サード・パーティ・ディレクトリ接続の詳細に対して無効なディレクトリ・タイプを指定したことです。正しいディレクトリ・タイプと接続の詳細を指定しているか確認してください。
問題
Oracle Enterprise Manager Fusion Middleware ControlのOracle Internet Directoryプロファイルは、「同期成功」と表示されますが、ディレクトリではまだ変化が見られません。
解決策
最初に、Oracle Enterprise Manager Fusion Middleware Controlを使用して、同期プロファイルの次のパラメータを調べることにより、同期が発生したかどうかを判定します。
正常完了時間(DIP Serverホームページ)
最終実行時間(DIP Serverホームページ)
スケジューリングの間隔(HH: MM: SS)(プロファイルの「拡張」タブ)
「正常完了時間」と「最終実行時間」のメトリックの時間値が、システムの現行の時間に関連する場合、同期は発生しています。それらのメトリックが、システムの現行の時間より大きく前の時間を示している場合、同期は発生していません。
同期が発生している場合:
Oracle Enterprise Manager Fusion Middleware Controlの、該当するプロファイルの「マッピング」タブで、「ソース・コンテナ」設定を調べ、同期が正しい場所で発生するように構成されているか確認します。
Oracle Enterprise Manager Fusion Middleware Controlの、該当プロファイルの「フィルタリング」タブで、「ソースの一致フィルタ」設定を調べ、正しいオブジェクトがフィルタされているか確認します。
同期が発生していない場合:
Oracle Enterprise Manager Fusion Middleware ControlのDIP Serverホームページを使用して、同期プロファイルが有効化されているか確認します。
Oracle Enterprise Manager Fusion Middleware ControlのDIP Serverホームページを使用して、クォーツ・スケジューラのステータスを確認します。
manageSyncProfilesコマンドと、そのtestProfile操作を使用して、同期プロファイルをテストします。manageSyncProfilesコマンドの詳細は、「manageSyncProfilesを使用した同期プロファイルの管理」を参照してください。
この項では、Oracle Identity ManagementをWindowsネイティブ認証と統合する際に発生する可能性のあるエラーと問題の解決策を示します。
|
注意: Oracle Directory Integration Platform 11gリリース1(11.1.1)は、Oracle Application Server Single Sign-On 10gリリース10.1.4.3.0以上をサポートしており、相互運用できます。 |
|
関連項目: Windowsネイティブ認証のエラーの詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Single Sign-On』のトラブルシューティングに関する章の、Windowsネイティブ認証エラーの問題と解決策の項を参照してください。 |
問題
サーバーの内部エラーです。管理者に通知してください。
解決策
中間層コンピュータで、Windowsネイティブ認証が正しく構成されていません。この問題を解決するには、次の手順を実行します。
opmn.logファイルでエラーをチェックします。
ssoServer.logファイルでエラーをチェックします。
keytabファイルが$ORACLE_HOME/j2ee/OC4J_SECURITY/configディレクトリにあり、jazn-data.xmlファイルで構成されたプリンシパル名が正しいことを確認します。
Key Distribution Centerにアクセスできるように、シングル・サインオンの中間層コンピュータが正しく構成されていることを確認します。
問題
KDCで認証できませんでした。
解決策
krb5.confのレルム名が正しく構成されていない場合に、このエラー・メッセージが表示されることがあります。/etc/krb5/krb5.confでdefault_realmとdomain_realmの値をチェックします。レルム名では、大文字と小文字を区別します。
問題
ブラウザがWindowsのKerberos認証をサポートしていないか適切に構成されていません。
解決策
ユーザーのWebブラウザがサポートされていないか、正しく構成されていません。「タスク2: Windowsネイティブ認証用のInternet Explorerの構成」の指示に従ってください。
問題
「アクセスが許可されていません」、HTTPエラー・コード403、または「Windowsのネイティブ認証に失敗しました。管理者に連絡してください。」
解決策
これらのエラー・メッセージは、同じ原因、つまりユーザー・エントリがOracle Internet Directoryにないことに起因します。Windowsデスクトップで作業するローカル管理者が、Oracle Internet Directoryと同期化されていないエントリを持つシングル・サインオンのパートナ・アプリケーションへのアクセスを試みている可能性があります。ユーザー・エントリがディレクトリに存在するかどうか、そのユーザーのKerberosプリンシパル属性がMicrosoft Active Directoryから正しく同期化されているかどうかを確認します。
問題
パートナ・アプリケーションにアクセスすると、Windowsのログイン・ダイアログ・ボックスが(ユーザー名、パスワードおよびドメイン・フィールド付きで)表示されます。
解決策
Oracle Internet Directoryで対応するユーザー・エントリが見つからないため、Single Sign-On ServerでKerberosトークンを認証できませんでした。ディレクトリにユーザー・エントリを追加します。
問題
Single Sign-On Serverが起動しません。ログ・ファイルに「Credential not found.」というメッセージの例外があります。
解決策
kerberos-servicenameパラメータが正しく構成されていない可能性があります。この問題を解決するには、次の手順を実行します。
orion-application.xmlファイルとjazn-data.xmlファイルでkerberos-servicenameが正しく構成されていることを確認します。orion-application.xmlファイルでは、このパラメータの書式はHTTP@sso.mycompany.comです。jazn-data.xmlファイルでは、書式はHTTP/sso.mycompany.comです。
ssoServer.logファイルでエラーをチェックします。
keytabファイルが$ORACLE_HOME/j2ee/OC4J_SECURITY/configディレクトリにあり、jazn-data.xmlで構成されたプリンシパル名が正しいことを確認します。
Kerberosドメイン・コントローラにアクセスできるように、シングル・サインオンの中間層コンピュータが構成されていることを確認します。
問題
OracleAS Single Sign-On Server Configuring Assistantの実行時に、次の例外が発生します。
Repository Access API throws exception :
oracle.ias.repository.schema.SchemaException: Unable to establish secure
connection to Oracle Internet Directory Server
ldap://server.mycompany.com:636/ Base Exception :
javax.naming.CommunicationException: server.mycompany.com:636 [Root
exception is java.lang.UnsatisfiedLinkError: no njssl10 in java.library.path]
at
oracle.ias.repository.directory.DirectoryReader.connectSsl(DirectoryReader.java:
98)
at
oracle.ias.repository.directory.DirectoryReader.connect(DirectoryReader.java:106
)
at oracle.ias.repository.IASSchema.getDBPassword(IASSchema.java:440)
at
oracle.ias.repository.SchemaManager.getDBPassword(SchemaManager.java:310)
at oracle.security.sso.IMWNAConfig.getSSOHost(IMWNAConfig.java:903)
at oracle.security.sso.IMWNAConfig.parseArgs(IMWNAConfig.java:168)
at oracle.security.sso.IMWNAConfig.init(IMWNAConfig.java:194)
at oracle.security.sso.IMWNAConfig.work(IMWNAConfig.java:60)
at oracle.security.sso.SSOConfigAssistant.wnaConfig(SSOConfigAssistant.java:243)
at oracle.security.sso.SSOConfigAssistant.main(SSOConfigAssistant.java:218)
解決策
この例外は、WindowsバージョンのOracleAS Single Sign-On Server Configuring AssistantをUNIXおよびLinuxプラットフォームで実行した場合に発生します。「各Oracle Application Server Single Sign-OnホストでのOracleAS Single Sign-On Server Configuration Assistantの実行」の指示に従い、UNIX/LinuxバージョンのOracleAS Single Sign-On Server Configuration Assistantを実行してください。
問題
Windowsネイティブ認証で、Internet ExplorerがKerberos資格証明のかわりにNT Lan Manager(NTLM)認証を送信しています。
解決策
この問題は、Microsoft Active Directoryが正しく構成されていないことが原因で発生します。この問題の解決方法についてMicrosoft Active Directoryのドキュメントを参照するか、Microsoft社に問い合せてください。
問題
個別ユーザーが、Windowsネイティブ認証を使用して特定のコンピュータからログインできません。
解決策
ユーザーが別のコンピュータを使用してログインできる場合は、元のコンピュータでのWindowsまたはInternet Explorerに構成の問題があります。この問題の解決方法についてMicrosoft Developer Network(http://msdn.microsoft.com)を参照するか、Microsoft社に問い合せてください。
この項では、Novell eDirectoryとOpenLDAPで発生する可能性のある同期のエラーと問題に対する解決策を示します。
問題
インポート同期の構成後、プロファイルの同期ステータスは成功で、トレース・ファイルに例外が示されていないにもかかわらず、Novell eDirectoryまたはOpenLDAPからOracle Internet Directoryにエントリが同期化されません。
考えられる原因と解決策は、次のとおりです。
原因 誤った値がインポート・プロファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータに割り当てられています。
解決策 接続識別名を、Novell eDirectoryまたはOpenLDAPのエクスポート・プロファイルからインポート・プロファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータにコピーします。
原因 Oracle Directory Integration Platformが同期化しようとしたエントリが、インポート・ファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータに割り当てられたものと同じ識別名を使用して作成されています。
解決策 インポート・ファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータに割り当てられている識別名を、Novell eDirectoryまたはOpenLDAPでエントリを作成しない識別名に変更します。
原因 Oracle Internet Directoryを実行しているコンピュータと、Novell eDirectoryまたはOpenLDAPを実行しているコンピュータとの間に時間差があります。
解決策 インポート・ファイルのodip.profile.configfileプロパティのReduceFilterTimeInSecondsパラメータに、2つのコンピュータ間の時間差と等しい秒数を値として割り当てます。
問題
リコンシリエーション時にスローされたサポート外の例外。
解決策
Novell eDirectoryまたはOpenLDAPのリコンシリエーション・ルールに指定されているOracle Internet Directoryの属性の1つ以上が索引付けされていません。Oracle Internet Directoryの対応する属性を索引付けします。
問題
プロファイルのリコンシリエーション・ステータスは成功であるにもかかわらず、Novell eDirectoryまたはOpenLDAPからOracle Internet Directoryに削除済エントリが同期化されません。
考えられる原因と解決策は、次のとおりです。
原因 削除済エントリがNovell eDirectoryまたはOpenLDAPのリコンシリエーション・ルールに指定されていません。
解決策 Novell eDirectoryまたはOpenLDAPのリコンシリエーション・ルールを変更して、削除済エントリを含めます。
原因 Novell eDirectoryまたはOpenLDAPに特定のリコンシリエーション・ルールに関するエントリがOracle Internet Directoryよりも多く存在します。
解決策 次のメッセージがないか、$ORACLE_HOME/ldap/odi/log/profile_name.trcファイルを調べてください。
No. of entries are less in destination directory compared to source directory.
このメッセージは通常、Novell eDirectoryまたはOpenLDAPのDIT全体がOracle Internet Directoryと同期化される必要がある場合に生成されます。この問題を解決するには、odip.profile.configfileプロパティのCheckAllEntriesパラメータにtrue値を指定します。
|
注意: odip.profile.configfileプロパティのCheckAllEntriesパラメータにtrue値を指定すると、パフォーマンスが低下します。 |
この項では、Oracle Password Filter for Microsoft Active Directoryで発生する可能性のあるエラーと問題に対する解決策を示します。
問題
ログ・ファイル・パスが見つかりません。
原因
ログ・ファイル・パスが無効です。
解決策
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、有効なログ・ファイル・パスを指定します。
問題
非SSLモードでOracle Internet Directoryに接続できません。
原因
Oracle Internet Directoryのコンフィギュレーション・セットが無効です。
解決策
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Oracle Internet Directoryのコンフィギュレーション・セットを修正します。
問題
SSLモードでOracle Internet Directoryに接続できません。
原因
Oracle Internet Directoryの認証局の信頼できる証明書がMicrosoft Active Directoryドメイン・コントローラにインポートされていません。
解決策
「Microsoft Active Directoryドメイン・コントローラへの信頼できる証明書のインポート」の指示に従い、Microsoft Active Directoryに信頼できる証明書をインポートします。
問題
Microsoft Active Directoryに接続できません。
原因
Microsoft Active Directoryの構成設定が無効です。
解決策
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Microsoft Active Directoryの構成設定を修正します。
問題
prepAD.ldifファイルをアップロードできません。
原因
指定されたMicrosoft Active DirectoryのベースDNコンテナにorganizationalUnitオブジェクトを格納できません。
解決策
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、organizationalUnitオブジェクトを格納できるMicrosoft Active DirectoryのベースDNを指定します。
問題
パスワード更新がOracle Internet DirectoryとMicrosoft Active Directoryの間でループしています。
原因
Oracle Password Filterが、Microsoft Active DirectoryからOracle Internet Directoryに値をインポートする同期プロファイルに指定されているものと同じバインドDNとパスワードを使用するように構成されていません。
解決策
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Microsoft Active DirectoryからOracle Internet Directoryに値をインポートする同期プロファイルに指定されているものと同じバインドDNとパスワードを使用するようにOracle Password Filterを構成します。
問題
一部のパスワードが、Oracle Internet DirectoryとMicrosoft Active Directoryの間で同期化されません。
原因
Oracle Internet DirectoryとMicrosoft Active Directoryで、競合するパスワード・ポリシーを指定しています。
解決策
Oracle Internet Directoryのパスワード・ポリシーをMicrosoft Active Directoryに設定されているものと同じポリシーに設定するか、Oracle Internet Directoryからパスワード・ポリシーを削除します。
問題
一部のユーザーについて、パスワードが同期化されません。
原因
Oracle Password Filterの拡張インストールを実行して、Oracle Internet DirectoryとMicrosoft Active Directoryの間で同期化する属性に異なる値を指定しています。
解決策
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Oracle Internet DirectoryとMicrosoft Active Directoryの間で同期化する属性に対して、同じ値を指定します。
問題
ユーザー・データは同期化されますが、パスワードの同期化が遅延します。
原因
ユーザー・データの同期とパスワードの同期に、異なる時間間隔が指定されています。
解決策
Oracle Password FilterのSleepTimeパラメータに指定された値が、同期プロファイルのデフォルトのスケジューリング間隔と同じであることを確認します。Oracle Enterprise Manager Fusion Middleware ControlツールまたはmanageSyncProfilesコマンドを使用すると、同期プロファイルのデフォルトのスケジューリング間隔を表示および変更できます。SleepTimeパラメータに指定された値を変更するには、「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従います。
この項では、Oracle Internet Directoryプロビジョニング・コンソールでプロビジョニング問題をトラブルシューティングする方法について説明します。内容は次のとおりです。
Oracle Delegated Administration Servicesの診断設定を使用すると、ログ・ファイルを調べずにOracle Internet Directoryプロビジョニング・コンソールでプロビジョニング問題をデバッグできます。診断設定の表示および構成の詳細は、『Oracle Fusion Middleware Guide to Delegated Administration for Oracle Identity Management』のOracle Internet Directoryセルフ・サービス・コンソールによるユーザーおよびグループの管理に関する章を参照してください。
Oracle Internet Directoryに新しいプロビジョニング統合アプリケーションをインストールしても、アプリケーション・キャッシュをリロードするまでそのアプリケーションはプロビジョニング・コンソールに表示されません。Oracle Internet Directoryでプロビジョニング統合アプリケーションが有効化または無効化された場合も、常にアプリケーション・キャッシュをリロードする必要があります。
Oracleプロビジョニング・サービスでは、プラグインを使用して新規ユーザーを作成します。この項では、Oracleプロビジョニング・サービスのプラグインをトラブルシューティングしてユーザー作成の問題を解決する方法について説明します。内容は次のとおりです。
プロビジョニング統合アプリケーションでは、プロビジョニング・インテリジェンス機能を拡張してビジネス・ポリシーを実装するために、プレデータ・エントリ・プラグインとポストデータ・エントリ・プラグインを起動できます。この項では、これら2つのプラグインの問題をトラブルシューティングする方法について説明します。
このプレデータ・エントリ・プラグインの主な目的は、一般プロビジョニング・ウィンドウで選択されたアプリケーションにユーザーをプロビジョニングするかどうかを決定することです。ユーザーがアプリケーションに対するプロビジョニング権限を保持している場合、アプリケーションのプロビジョニング・ポリシーに従って、プレデータ・エントリ・プラグインにより、次のウィンドウ(「アプリケーション・プロビジョニング」ウィンドウ)のフィールドが移入されます。
プレデータ・エントリ・プラグインに問題が発生すると、例外メッセージとスタック・トレースを含むエラーが一般プロビジョニング・ウィンドウに表示されます。スタック・トレースで次の行を検索して、プラグインに渡されたユーザー属性を確認できます。
******preplugin base user prop set for <Application Name> …
次の行を検索して、ログ・ファイルでエラーを確認できます。
oracle.idm.provisioning.plugin.PluginException
ポストデータ・エントリ・プラグインは、ユーザーによって入力された共通属性とアプリケーション固有属性に関するデータを検証します。プロビジョニング作業を続けるためには、このプラグインでの検証に成功する必要があります。
ポストデータ・エントリ・プラグインに問題が発生すると、エラーが「アプリケーション属性」ウィンドウに表示されます。例外スタック・トレースは、次の行に続いています。
UserPlguInMgmt::postPlugInProcess(): apptype <Application Type> appname <Application Name> error when executing plugin logics
プロビジョニング統合アプリケーションは、PL/SQLプラグインまたはデータ・アクセスJavaプラグインを通じてプロビジョニングされます。PL/SQLプラグインは、Oracle Directory Integration Platformによって起動されますが、データ・アクセスJavaプラグインは、Oracle Delegated Administration Servicesによって直接起動されます。
特定のアプリケーションに対するプロビジョニングに失敗しても、ユーザーの作成は成功することがあります。プロビジョニングの失敗は、「確認」ウィンドウの「発行」をクリックして、プロビジョニング・エラー・メッセージとともに警告ステータスを受信した場合にそのことがわかります。失敗の詳細を確認するには、ログ・ファイルで「Data Access plug-in execution failure」を検索します。この文に続く行に、プロビジョニングに失敗した詳細な理由がリストされています。
ユーザー・エントリのプロビジョニング・ステータスは、プロビジョニング問題の識別に役立ちます。
ユーザー・エントリのプロビジョニング・ステータスを参照するには、次の手順を実行します。
プロビジョニング・コンソールで「ディレクトリ」タブを選択し、「ユーザー」を選択します。「ユーザーの検索」ウィンドウが表示されます。
「ユーザーの検索」フィールドに、ユーザーの姓、名、電子メール・アドレスまたはユーザーIDの最初の数文字を入力します。たとえば、Anne Smithを検索する場合、AnnまたはSmiと入力します。ディレクトリにあるすべてのユーザーのリストを表示するには、このフィールドを空白のままにしてください。
「実行」をクリックして検索結果を表示します。
参照するエントリを保持するユーザーを選択し、「表示」をクリックして「ユーザーの表示」ウィンドウを表示します。
このウィンドウの詳細は、『Oracle Fusion Middleware Guide to Delegated Administration for Oracle Identity Management』を参照してください。
「ユーザーの表示」ウィンドウで、「プロビジョニング・ステータス」表のエントリを調べます。アプリケーションの「プロビジョニング・ステータス」列にPROVISIONING_FAILUREという値が含まれている場合、「プロビジョニング・ステータスの説明」列に失敗の原因を説明する次のいずれかの値が含まれます。
PROVISIONING_REQUIRED
PENDING_UPGRADE
PROVISIONING_NOT_REQUIRED
PROVISIONING_FAILURE
アカウント作成後にユーザーがログインできないという典型的な問題を解決するには、次の手順を実行します。
「プロビジョニング・ステータスを使用した問題の識別」の指示に従い、ユーザー・プロビジョニング・ステータスを調査してユーザーが適切にプロビジョニングされていないアプリケーションを特定します。
ユーザーが適切にプロビジョニングされていないアプリケーションのプロビジョニング方式を特定します。
Oracle Internet Directoryプロビジョニング・コンソールで作成されたユーザー・アカウントの場合、Oracle Delegated Administration Servicesの次のログ・ファイルを調べます。
$ORACLE_HOME/opmn/logs/OC4J~OC4J_SECURITY~default_island~1
PL/SQLプラグインまたはデータ・アクセスJavaプラグインで作成されたユーザー・アカウントの場合、次の診断ログ・ファイルを調べます。
$WL_HOME/user_projects/domains/DOMAIN_NAME/servers/ SERVER_NAME/logs/SERVER_NAME-diagnostic.log
Oracle Enterprise Manager Fusion Middleware Controlを使用して、プロビジョニング統合プロファイルのプロビジョニング実行ステータスを監視できます。
Oracle Enterprise Manager Fusion Middleware Controlのメイン・ページの「スタンドアロン・インスタンス」セクションで、管理するOracle Fusion Middlewareインスタンスの名前を選択します。選択したインスタンスについて、Oracle Fusion Middlewareホームページが開きます。
「システム・コンポーネント」表の「名前」列で、「OID」を選択します。「Oracle Internet Directory」ページが開きます。必要なパッケージが正しくインストールされている場合、ステータスは緑色になります。これは、Oracle Directory Integration Platformが稼働中かどうかを示すものではありません。
サーバーのステータスをチェックするには、「ディレクトリ統合」を選択して、「ディレクトリ統合プラットフォーム・ステータス」ページを表示します。このページには、プロビジョニング用と同期用のものも含め、Oracle Directory Integration Platformの様々な実行中インスタンスが表示されます。プロビジョニング統合プロファイルに関してこのウィンドウに表示される主なデータは次のとおりです。
サブスクライブ・アプリケーションの名前
サブスクリプションが行われた企業の名前
プロファイルのステータス(ENABLED、DISABLEDまたはDISCARDED)
プロファイルで示されるアプリケーションへのイベント伝播に使用されたOracle Internet Directory内の変更キー
最終実行時間
プロファイルの最終正常実行時間
エラー(存在する場合)
|
注意: 「ディレクトリ統合プラットフォーム・ステータス」ページには、このプロファイルの各種イベント・サブスクリプションは表示されません。 |
操作の引数statusを指定してoidprovtoolユーティリティを実行することで、プロビジョニング統合ステータスに関する詳細出力も取得できます。oidprovtoolユーティリティは、$ORACLE_HOME/binディレクトリにあります。
この項では、Oracle Directory Integration Platformとの同期に関する問題をトラブルシューティングする方法について説明します。内容は次のとおりです。
Oracle Internet Directoryと接続ディレクトリ間の同期に関する問題をデバッグする場合、Oracle Directory Integration Platformの同期プロセスの流れを理解することが役立ちます。
Oracle Directory Integration Platformでは、起動時にすべてのインポート・プロファイルを読み取ります。ENABLEに設定されているプロファイルごとに、同期プロセスの間に、Oracle Directory Integration Platformにより次のタスクが実行されます。
サード・パーティ・ディレクトリに接続します。
接続ディレクトリから最終変更キーの値を取得します。
Oracle Internet Directoryに接続します。
プロファイルの最後に適用された変更キーの値をOracle Internet Directoryから取得します。
Sun Java System Directory Server接続の場合、Oracle Directory Integration Platformは、リモートの変更ログで、最後に適用された変更キーの値より大きいエントリと、最終変更キーの値以下のエントリを検索します。Microsoft Active Directory接続の場合、Oracle Directory Integration Platformは、この情報をリモート・ディレクトリのUSNChanged値で検索します。Novell eDirectoryコネクタとOpenLDAPコネクタの場合、変更は各エントリのmodifytimestamp属性に基づいて識別されます。Oracle Human Resourcesコネクタなど、その他のタイプのコネクタの場合、Oracle Directory Integration Platformでは同様のタイプの検索を実行しますが、データが交換される方法は、接続のタイプによって異なります。
データ値を接続ディレクトリからOracle Internet Directoryの値へマップします。
Oracle Internet Directory変更レコードを作成します。
Oracle Internet Directoryで変更を適用(追加、変更、削除)します。
Oracle Internet Directoryインポート・プロファイルを、最終実行時間と接続ディレクトリから最後に適用された変更キーで更新します。
同期の間隔として指定された秒数のスリープ・モードに入ります。
Oracle Directory Integration Platformでは、起動時にすべてのエクスポート・プロファイルを読み取ります。ENABLEに設定されているプロファイルごとに、同期プロセスの間に、Oracle Directory Integration Platformにより次のタスクが実行されます。
サード・パーティ・ディレクトリに接続します。
Oracle Internet Directoryに接続します。
最終変更キーの値をOracle Internet Directoryから取得します。
プロファイルの最後に適用された変更キーの値をOracle Internet Directoryから取得します。
Oracle Directory Integration Platformは、Oracle Internet Directoryの変更ログで、最後に適用された変更キーの値より大きいエントリと、最終変更キーの値以下のエントリを検索します。
データ値をOracle Internet Directoryから接続ディレクトリの値へマップします。
変更レコードを作成します。
接続ディレクトリに変更を適用(追加、変更、削除)します。
Oracle Internet Directoryエクスポート・プロファイルを、最終実行時間とOracle Internet Directoryから最後に適用された変更キーで更新します。
同期の間隔として指定された秒数のスリープ・モードに入ります。
この項では、同期プロファイルの登録に関する情報を提供します。
DISABLED状態で登録されているプロファイルの検証
登録されているプロファイルの検証は必須ではありません。ただし、検証がプロファイル作成の妨げにならないかぎり、登録済プロファイルを検証できます。
検証が失敗したDISABLEDプロファイルの登録
DISABLED状態のプロファイルの検証が失敗しても、そのプロファイルは登録されたままです。DISABLED状態のプロファイルは、エラーがあるか、ターゲット・システム・ディレクトリへの資格証明が不明である可能性がありますが、これは、プロファイルの登録を妨げるものではありません。
プロファイル・エラーの修正
プロファイルの登録中に(サード・パーティ・ディレクトリの不正なパスワードなどが原因で)エラー・メッセージが表示された場合は、manageSyncProfilesコマンドライン・ツールを使用して、プロファイル内のエラーを修正します。詳細は、「manageSyncProfilesを使用した同期プロファイルの管理」を参照してください。
この項では、Oracle Directory Integration Platformのdiagnostic.logファイルの概要を説明します。このファイルは次の場所にあります。
$WL_HOME/user_projects/domains/DOMAIN_NAME/servers/ SERVER_NAME/logs/SERVER_NAME-diagnostic.log
diagnostic.logファイルの例を次に示します。この例は各セクションに分割されており、Oracle Directory Integration Platformのトラブルシューティングに有効な情報を識別するために注釈が付けられています。重要な情報は太字で示されています。テキストHost: HOST_NAME: PORTは、Oracle Directory Integration Platformが接続しているマシンのホスト名とポートを示します。
起動情報
diagnostic.logファイルの次のセクションは、Oracle Directory Integration Platformの起動に関連する情報を示しています。このセクションでは、次のことに注意してください。
「SSL Mode: 1」は、Oracle Internet Directoryに接続するために使用される接続モードを示します。表示される可能性があるのは、「SSL Mode: 1」か「 SSL Mode: 2」です。「SSL Mode: 2」と表示されている場合、Oracle Directory Integration Platformは証明書を使用してOracle Internet Directoryに接続します。
「Scheduler initialized」は、プロファイル・スケジューラが正常に初期化されたことを示します。Oracle Internet Directoryサーバーへの正常な接続を示す文字列が続きます。
スキーマ・オブジェクトが初期化され、プロファイルの同期がスケジュールされます。
[2009-02-18T00:52:27.530-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: [ACTIVE].ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Copyright (c) 1982, 2009 Oracle. All rights reserved [2009-02-18T00:52:27.550-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: [ACTIVE].ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] SSL Mode : 1 [2009-02-18T00:52:27.554-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: [ACTIVE].ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Host: HOST_NAME: PORT [2009-02-18T00:52:38.104-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Scheduler intialized [2009-02-18T00:52:47.273-08:00] [wls_ods1] [NOTIFICATION] [DIP-10571] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Connection to LDAP Server Successful [2009-02-18T00:52:47.334-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] OBJECT_SCHEMA_ READER_INITIALIZING [2009-02-18T00:52:47.508-08:00] [wls_ods1] [NOTIFICATION] [DIP-10572] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Object Schema Reader Initialized. [2009-02-18T00:52:47.510-08:00] [wls_ods1] [NOTIFICATION] [DIP-10573] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Event Schema Reader Initialized. [2009-02-18T00:52:48.198-08:00] [wls_ods1] [NOTIFICATION] [DIP-10574] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Data transfer interface defn initialized [2009-02-18T00:52:48.213-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] INITALIZE_PROVJOBS [2009-02-18T00:52:48.773-08:00] [wls_ods1] [NOTIFICATION] [DIP-10566] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] [arg: \n----------EVENT TYPE CONFIGURATION ---------------\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: inetorgperson,orcluserv2\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: orclservicesubscriptiondetail\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: *\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: inetorgperson,orcluserv2\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: orclsubscriber\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: orclgroup,orclprivilegegroup,groupofuniquenames,groupofnames\n------------------------------------- -------------] Print Event Type Configuration...[[ ----------EVENT TYPE CONFIGURATION --------------- -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: inetorgperson,orcluserv2 -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: orclservicesubscriptiondetail -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: * -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: inetorgperson,orcluserv2 -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: orclsubscriber -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: orclgroup,orclprivilegegroup,groupofuniquenames,groupofnames -------------------------------------------------- ]] [2009-02-18T00:52:48.826-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] INITALIZE_SYNCJOBS [2009-02-18T00:52:50.804-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Job submission successfulActiveExport SYNC_JOB 60 [2009-02-18T00:52:50.809-08:00] [wls_ods1] [NOTIFICATION] [EVENT_NOT_ENABLED] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] [2009-02-18T00:52:52.184-08:00] [wls_ods1] [NOTIFICATION] [DIP-10605] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] [arg: ActiveExport] Profile : ActiveExport added successfully for scheduling.
UpdateThreadによるプロファイル内の変更の検出
diagnostic.logファイルの次のセクションには、同期プロファイルおよびプロビジョニング・プロファイルに対して行われた変更を検出するUpdateThreadジョブに関連する情報が表示されます。UpdateThreadにより変更が検出されると、プロファイルは変更され、再スケジュールされます。
[2009-02-18T01:20:42.501-08:00] [wls_ods1] [NOTIFICATION] [DIP-10580] [oracle.dip] [tid:
UpdateThread] [userId: <anonymous>] [ecid: 0000Hy8fyF1F0FQ6ubn3EH19ax8V000003,0] [APP:
DIP#11.1.1.1.0] [arg:
(&(objectclass=changelogentry)(changenumber>=3340)(|(targetdn=*cn=Profiles,cn=Provisioning,cn=Direc
tory Integration Platform,cn=Products,cn=OracleContext)(targetdn=*cn=event definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)(targetdn=*cn=object definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)))] Changelog Filter :
(&(objectclass=changelogentry)(changenumber>=3340)(|(targetdn=*cn=Profiles,cn=Provisioning,cn=Direc
tory Integration Platform,cn=Products,cn=OracleContext)(targetdn=*cn=event definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)(targetdn=*cn=object definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)))
プロファイル初期化
diagnostic.logファイルの次のセクションは、プロファイルの初期化に関連する情報を示しています。このセクションでは、ActiveImportプロファイルがスケジュールされていることに注意してください。
[2009-02-18T02:26:19.604-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] INITALIZE_SYNCJOBS [2009-02-18T02:26:19.695-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] Job submission successfulActiveImport SYNC_JOB 60 [2009-02-18T02:26:19.703-08:00] [wls_ods1] [NOTIFICATION] [EVENT_NOT_ENABLED] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] [2009-02-18T02:26:19.741-08:00] [wls_ods1] [NOTIFICATION] [DIP-10605] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] [arg: ActiveImport] profile added successfully for scheduling : ActiveImport
データベース障害
diagnostic.logファイルの次のセクションには、データベースが稼働していない場合に表示されるメッセージが表示されます。
Feb 18, 2009 3:01:19 AM org.quartz.impl.jdbcjobstore.JobStoreSupport$ClusterManager manage
SEVERE: ClusterManager: Error managing cluster: Failed to obtain DB connection from data source
'schedulerDS': java.sql.SQLException: Could not retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications..
org.quartz.JobPersistenceException: Failed to obtain DB connection from data source 'schedulerDS':
java.sql.SQLException: Could not retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications.. [See nested exception: java.sql.SQLException: Could not
retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications..]
at org.quartz.impl.jdbcjobstore.JobStoreSupport.getConnection(JobStoreSupport.java:636)
at org.quartz.impl.jdbcjobstore.JobStoreTX.getNonManagedTXConnection(JobStoreTX.java:72)
at org.quartz.impl.jdbcjobstore.JobStoreSupport.doCheckin(JobStoreSupport.java:3070)
at org.quartz.impl.jdbcjobstore.JobStoreSupport$ClusterManager.manage(JobStoreSupport.java:3713)
at org.quartz.impl.jdbcjobstore.JobStoreSupport$ClusterManager.run(JobStoreSupport.java:3749)
Caused by: java.sql.SQLException: Could not retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications..
at org.quartz.utils.JNDIConnectionProvider.getConnection(JNDIConnectionProvider.java:166)
at org.quartz.utils.DBConnectionManager.getConnection(DBConnectionManager.java:112)
at org.quartz.impl.jdbcjobstore.JobStoreSupport.getConnection(JobStoreSupport.java:633)
正常な同期操作
diagnostic.logファイルの次のセクションには、ユーザーの正常な初期化が表示されます。
QuartzJobListener says: Job ActiveImport Is about to be executed.Wed Feb 18 03:36:00 PST 2009 createChangeRecord:ChangeRecord : ---------- Changetype: ADDRMODIFY ChangeKey: cn=myuser2,cn=users,dc=imtest,dc=com Attributes: Class: null Name: userprincipalname Type: null ChgType: DELETE Value: [ ] Class: null Name: givenname Type: null ChgType: DELETE Value: [ ] Class: null Name: employeeid Type: null ChgType: DELETE Value: [ ] Class: null Name: physicaldeliveryofficename Type: null ChgType: DELETE Value: [ ] Class: null Name: title Type: null ChgType: DELETE Value: [ ] Class: null Name: mobile Type: null ChgType: DELETE Value: [ ] Class: null Name: telephonenumber Type: null ChgType: DELETE Value: [ ] Class: null Name: facsimiletelephonenumber Type: null ChgType: DELETE Value: [ ] Class: null Name: l Type: null ChgType: DELETE Value: [ ] Class: null Name: thumbnailphoto Type: null ChgType: DELETE Value: [ ] Class: null Name: samaccountname Type: nonbinary ChgType: REPLACE Value: [MyUser2] Class: null Name: objectsid Type: nonbinary ChgType: REPLACE Value: [[B@1b994c4] Class: null Name: objectguid Type: nonbinary ChgType: REPLACE Value: [[B@1b990b5] Class: null Name: distinguishedname Type: nonbinary ChgType: REPLACE Value: [CN=MyUser2,CN=Users,DC=imtest,DC=com] Class: null Name: cn Type: nonbinary ChgType: REPLACE Value: [MyUser2] Class: null Name: objectclass Type: nonbinary ChgType: REPLACE Value: [top, person, organizationalPerson, user] ----------- copying : changeRecord to dstchange for writing In DIPSYNC: doOneIteration():execMapping status0 QuartzJobListener says: Job ActiveImport was executed.Wed Feb 18 03:36:00 PST 2009
この項では、Microsoft Active Directoryとの統合に関する問題をトラブルシューティングする方法について説明します。内容は次のとおりです。
Windowsネイティブ認証を構成すると(「Windowsネイティブ認証の構成」を参照)、実行時にこの機能のロギングを有効にできます。$ORACLE_HOME/opmn/confにあるopmn.xmlファイルを開き、次のパラメータを追加します。
-Djazn.debug.log.enable = {true | false}
パラメータにtrueの値を指定するとデバッグが有効になり、falseの値を指定すると無効になります。
次の例の太字は、opmn.xmlファイルでパラメータを置く位置を示しています。
<process-type id="OC4J_SECURITY" module-id="OC4J">
<environment>
<variable id="DISPLAY" value="sun1.us.oracle.com:0.0"/>
<variable id="LD_LIBRARY_PATH" value="/private/ora1012/OraHome1/lib"/>
</environment>
<module-data>
<category id="start-parameters">
<data id="java-options" value="-server -Djazn.debug.log.enable=true
-Djava.security.policy=/private/ora1012/OraHome1/j2ee/OC4J_SECURITY/
config/java2.policy -Djava.awt.headless=true -Xmx512m
-Djava.awt.headless=true"/>
<data id="oc4j-options" value="-properties"/>
</category>
<category id="stop-parameters">
<data id="java-options" value="-Djava.security.policy=/private/ora1012/
OraHome1/j2ee/OC4J_SECURITY/config/java2.policy -Djava.awt.headless=true"/>
</category>
ログは、$ORACLE_HOME/opmn/logsにあるOC4J~OC4J_SECURITY~default_island~1ファイルに書き込まれます。
|
注意: 保護されたアプリケーションにWindowsネイティブ認証でアクセスすると、Webブラウザは「401 - Unauthorized」エラーを自動的に返します。このエラーはOracle Enterprise Managerによって記録されます。これは通常の動作で、無視してもかまいません。 |
|
関連項目:
|
Oracle Internet Directoryが使用できないとき、変更はMicrosoft Active Directoryに格納されます。Oracle Password Filter for Microsoft Active Directoryは、Oracle Internet Directoryとの接続が復元された後にこれらのエントリを同期化しようとします。SearchDeltaSizeパラメータにより、同期サイクルの各反復中に処理される増分変更数が決まります。デフォルトでは、SearchDeltaSizeパラメータに500の値が割り当てられています。Oracle Internet Directoryが使用できない期間の長さによっては、SearchDeltaSizeのデフォルト値500は、同期化されていない変更すべてを取り込むには低すぎる場合があります。この問題を解決するには、既存のMicrosoft Active Directoryのインポート同期プロファイルをコピーし、SearchDeltaSizeパラメータに指定されている値を変更して、遡及プロファイルを作成する必要があります。
遡及同期プロファイルを作成するには、次のようにします。
Oracle Directory Integration Platformを停止します。
manageSyncProfilesコマンドのdeactivate操作を使用して、Microsoft Active Directoryのインポート同期プロファイルを非アクティブ化します。
manageSyncProfiles copyコマンドを使用してインポート同期プロファイルをコピーし、遡及同期プロファイルを作成します。たとえば、次のようになります。
manageSyncProfiles copy -h myhost.mycompany.com -p 7005 -D weblogic -pf existing_import_sync_profile -newpf name_of_new_catchup_sync_profile
manageSyncProfilesコマンドのactivate操作を使用して、元のMicrosoft Active Directoryのインポート同期プロファイルをアクティブ化します。
Oracle Directory Integration Platformを起動します。
新しいドメイン・コントローラのルートDSEで、現行の最大のUSNChanged値(ルートDSEのhighestCommittedUSN属性の属性値)を検索することにより、highestCommittedUSNの現行値を取得します。
ldapsearch -h host -p port -b "" -s base -D binddn -q \ DN "objectclass=*" highestCommittedUSN
|
注意: パスワードを要求されます。 |
100を超えるエントリ(ただし200未満)を取得するまで、次のldapsearchコマンドを試行します。200を超えるエントリを取得すると、内部バッファのオーバーランを招くことがあります。
ldapsearch -v -h adhost -p adport -D administrator@domain -q \ -b cn=users,dc=acme,dc=com -s sub \ "(&(objectclass=*)(usnChanged>=delta)(&(usnChanged<=highestCommittedUSN)))" dn
|
注意: パスワードを要求されます。 |
たとえば、次のコマンドにより、デフォルトの検索デルタ・サイズ500を使用して検索を実行します。
ldapsearch -v -h adhost -p adport -D administrator@domain -q \ -b cn=users,dc=acme,dc=com -s sub \ "(&(objectclass=*)(usnChanged>=55010)(&(usnChanged<=55510)))" dn
|
注意: パスワードを要求されます。 |
次の内容を指定したprofile_config.txtというテキスト・ファイルを作成します。
[INTERFACEDETAILS] Package: gsi Reader: ActiveChgReader SkipErrorToSyncNextChange: true SearchDeltaSize: 100000
|
注意: SkipErrorToSyncNextChangeパラメータを設定して、同期中に変更を処理するときにOracle Directory Integration Platformでエラーを処理する方法を決定することもできます。同期プロファイルのSkipErrorToSyncNextChangeパラメータの詳細は、「拡張」の項を参照してください。 |
manageSyncProfilesコマンドのupdate操作を使用して、profile_config.txtファイルを遡及同期プロファイルにロードします。
manageSyncProfilesコマンドのactivate操作を使用して、遡及同期プロファイルをアクティブ化します。
|
注意: 元のMicrosoft Active Directoryのインポート同期プロファイルが遡及同期プロファイルとともに実行され続けていることを確認してください。 |
遡及同期プロファイルを12時間以上実行します。バックログされた変更がすべて同期化された後、manageSyncProfilesコマンドのdeactivate操作を使用して遡及同期プロファイルを非アクティブ化します。
My Oracle Support(旧MetaLink: http://metalink.oracle.com)で、さらに多くの解決策を見つけることができます。問題の解決策が見つからない場合は、サービス・リクエストに記録してください。
|
関連項目: Oracle Application Serverのリリース・ノート。Oracle Technology Network(http://www.oracle.com/technology/documentation/index.html)で入手可能。 |
