In diesem Abschnitt werden bekannte Probleme und Einschränkungen zum Zeitpunkt der Freigabe beschrieben.
Änderungen, die an Dateiberechtigungen für installierte Directory Server Enterprise Edition-Produktdateien vorgenommen werden, können in einigen Fällen dazu führen, dass die Software nicht vorschriftsmäßig funktioniert. Ändern Sie Dateiberechtigungen nur, wenn Sie damit Anweisungen in der Produktdokumentation bzw. Anleitungen des Sun-Supports befolgen.
Diese Einschränkung lässt sich umgehen, wenn Sie als Benutzer mit entsprechenden Benutzer- und Gruppenberechtigungen Produkte installieren und Serverinstanzen erstellen.
Obwohl Sie niemand daran hindert, die Replikation für das Suffix cn=changelog einzurichten, kann dies die Replikation behindern. Replizieren Sie das cn=changelog-Suffix nicht. Das cn=changelog-Suffix wird vom Plug-In des Retro-Änderungsprotokolls erstellt.
Der Directory Server unterstützt Sun Cluster 3.2. Wird der Directory Server auf Sun Cluster ausgeführt und nsslapd-db-home-directory so gesetzt, dass ein nicht gemeinsam genutztes Verzeichnis verwendet wird, nutzen mehrere Instanzen Datenbank-Cachedateien gemeinsam. Nach einem Failover verwendet die Directory Server-Instanz auf dem neuen Knoten die möglicherweise veralteten Datenbank-Cachedateien.
Um diese Einschränkung zu umgehen, verwenden Sie entweder ein Verzeichnis für nsslapd-db-home-directory, das freigegeben ist, oder entfernen Sie beim Starten von Directory Server systematisch die Dateien im nsslapd-db-Stammverzeichnis.
Wenn LD_LIBRARY_PATH /usr/lib enthält, wird die falsche SASL-Bibliothek verwendet, was zum Fehlschlagen des dsadm-Befehls nach der Installation führt.
Eine LDAP-Änderungsoperation in cn=config kann lediglich die untergeordnete Ersetzungsoperation verwenden. Jeglicher Versuch, ein Attribut hinzuzufügen oder zu löschen, wird mit der Fehlermeldung DSA kann nicht ausgeführt werden, Fehler 53, verworfen. Obwohl Directory Server 5 das Hinzufügen oder Löschen eines Attributs oder Attributwerts akzeptierte, wurde das Update ohne Wertevalidierung auf die Datei dse.ldif angewendet. Der interne DSA-Status wurde so lange nicht aktualisiert, bis DSA angehalten und gestartet wurde.
Die Konfigurationsschnittstelle cn=config ist veraltet. Verwenden Sie, wenn möglich, stattdessen den Befehl dsconf.
Um diese Einschränkung zu umgehen, kann die untergeordnete LDAP-Änderungs- und Ersetzungsoperation eine untergeordnete Hinzufügen- oder Löschoperation ersetzen. Es gehen keine Funktionen verloren. Ganz im Gegenteil ist der Status der DSA-Konfiguration nach der Änderung besser vorhersehbar.
Dieses Problem betrifft lediglich die Serverinstanzen auf Windows-Systemen. Dieses Problem ist auf die Leistung auf Windows-Systemen zurückzuführen, wenn Start TLS verwendet wird.
Um dieses Problem zu umgehen, sollten Sie die Option -P mit dem Befehl dsconf verwenden, um mithilfe des SSL-Ports direkt eine Verbindung herzustellen. Wenn Ihre Netzwerkverbindung bereits sicher ist, sollten Sie die Option -e zusammen mit dem Befehl dsconf verwenden. Mit dieser Option können Sie eine Verbindung mit dem Standardport herstellen, ohne eine sichere Verbindung anzufordern.
Nachdem Sie eine replizierte Directory Server-Instanz aus einer Replikationstopologie entfernt haben, können die Replikationsaktualisierungsvektoren weiterhin Verweise auf die Instanz enthalten. Folglich können Sie auf Verweise auf Instanzen treffen, die nicht mehr vorhanden sind.
Um dieses Problem zu umgehen, verwenden Sie bei der Installation von nativen Paketen den Befehl cacaoadm enable als root.
Um dieses Problem unter Windows zu umgehen, wählen Sie in den Eigenschaften des Common Agent Container-Dienstes die Option zum Anmelden, geben das Passwort des Benutzers ein, der den Dienst ausführt, und wählen "Übernehmen". Wenn Sie diese Einstellung nicht bereits vorgenommen haben, werden Sie in einer Nachricht darüber informiert, dass das Konto user name mit der Berechtigung zum Anmelden als Dienst ausgestattet wurde.
Die Directory Server-Konfigurationseigenschaft max-thread-per-connection-count gilt für Windows-Systeme nicht.
Ein Microsoft Windows 2000 Standard Edition Bug führt dazu, dass der Directory Server-Dienst als deaktiviert erscheint, nachdem der Dienst aus Microsoft Management Console gelöscht wurde.
Konsole lässt keine Administratoranmeldung für den Server zu, der unter Windows XP ausgeführt wird.
Sie können das Problem umgehen, indem Sie das Gastkonto deaktivieren und den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest auf 0 setzen.
Wenn Sie eine Indexkonfiguration für ein Attribut ändern, werden alle Suchvorgänge, bei denen dieses Attribut als Filter verwendet wird, wie nicht indizierte Suchvorgänge behandelt. Damit Suchvorgänge mit diesem Attribut korrekt verarbeitet werden, verwenden Sie den Befehl dsadm reindex oder dsconf reindex. So werden vorhandene Indizes bei jeder Änderung der Indexkonfiguration für ein Attribut neu generiert. Nähere Informationen finden Sie in Kapitel 13, Directory Server Indexing in Sun Java System Directory Server Enterprise Edition 6.3 Administration Guide .
In diesem Abschnitt werden die zum Veröffentlichungszeitpunkt von Directory Server 6.3 bekannten Probleme aufgelistet.
Das Directory Service Control Center wird nach dem Anwenden der 6.3-Patch-Version nicht richtig korrigiert.
Wenden Sie für ein lokalisiertes Directory Service Control Center den Directory Server Enterprise Edition 6.3-Patch vor dem lokalisierten Directory Server Enterprise Edition 6.3-Patch an, und führen Sie anschließend die folgenden Befehle in der angegebenen Reihenfolge aus.
# dsccsetup console-unreg |
# dsccsetup console-reg |
Die Befehle dsccsetup console-unreg und console reg müssen nicht ausgeführt werden, wenn Sie den lokalisierten Directory Server Enterprise Edition 6.3-Patch vor dem Directory Server Enterprise Edition 6.3-Patch anwenden.
In Zip-basierten Installationen wird der lokalisierte Directory Server Enterprise Edition 6.3-Patch nicht automatisch auf das Directory Service Control Center angewendet. Um dieses Problem zu umgehen, heben Sie die Bereitstellung der WAR-Datei auf, und stellen Sie sie anschließend erneut bereit.
Die Ausgabe des Befehls dsadm show-*-log l enthält nicht die richtigen Zeilen. Sie enthält möglicherweise die letzten Zeilen eines zuvor rotierten Protokolls.
Die Ausgabe des Befehls dsadm show-*-log ist nicht korrekt, wenn einige Zeilen des Protokolls mehr als 1024 Zeichen enthalten.
Manche ACI-Suchen können die Werte beschränkter Attribute offenlegen. Dadurch können Benutzer eventuell beschränkte Attribute durch logische Schlussfolgerungen erraten.
Wird bei der Sicherung einer laufenden Directory Server-Instanz mit dem Befehl db2ldif die db2ldif-Operation vorzeitig durch "Strg-C" beendet, hebt die Operation unter Umständen die Datenbanksperren nicht auf. Wird danach ein MOD gegen eine gesperrte Seite versucht, wird diese unendlich blockiert, und der Server kann keine weiteren MODs verarbeiten.
Nach dem Bereitstellen der WAR-Datei funktioniert die Schaltfläche "Topologie anzeigen" manchmal nicht. Gelegentlich tritt ein Java-Ausnahmefehler auf, der auf org.apache.jsp.jsp.ReplicationTopology_jsp._jspService basiert.
Unter Windows zeigt der Befehl dsadm start im koreanischen Gebietsschema nicht das Fehlerprotokoll nsslapd an, wenn ns-slapd nicht gestartet werden kann.
Wenn Sie bei der Konfiguration der Digest-Authentifizierung für Sun Web Proxy 4.0 den Anweisungen unter "Einrichten des Sun Java System Directory Server für die Verwendung des DES-Algorithmus" folgen, kann die Replikation bei der ersten Änderung des Attributs iplanetReversiblePassword fehlschlagen.
Das Ändern oder Löschen eines Attributs in der Tabelle "Zusätzliche Indizes" auf der Registerkarte "Indizes" im Directory Service Control Center kann dazu führen, dass veraltete Informationen angezeigt werden, bis der Browser aktualisiert wird.
Wenn Sie in der Windows 2000-Zip-Verteilung mit Tomcat 5.5 Application Server und Internet Explorer 6 im "Schritt 3: Zugriffsrechte zuweisen" des Directory Service Control Center-Assistenten "Neue DS Zugriffskontrollanweisung" im Listenfeld "Angebenen Benutzern Rechte zuweisen:" auf die Schaltfläche "Löschen" klicken, kann ein Ausnahmefehler auftreten, der folgendermaßen lautet:
The following error has occurred: Handler method "handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature Show Details Hide Details com.iplanet.jato.command.CommandException: Handler method "handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature com.iplanet.jato.view.command.DefaultRequestHandlingCommand.execute (DefaultRequestHandlingCommand.java:167) com.iplanet.jato.view.RequestHandlingViewBase.handleRequest (RequestHandlingViewBase.java:308) com.iplanet.jato.view.ViewBeanBase.dispatchInvocation(ViewBeanBase.java:802)
Vor dem Aktualisieren von Directory Server Enterprise Edition 6.2 auf Directory Server Enterprise Edition 6.3 muss ntservice für jede Instanz von Directory Server oder Directory Proxy Server manuell gestoppt werden, aber der Befehl dsee_deploy kann laufende Instanzen von Directory Server oder Directory Proxy Server auf der Microsoft Windows 2000-Plattform nicht identifizieren.
In der Zip-Verteilung von Microsoft Windows 2000 kann der Befehl dsee_deploy beim Aktualisieren fehlschlagen. Die Fehlermeldung lautet sinngemäß wie folgt:
Fehler: Das alte Verzeichnis C:/local/upg6263/./dsee6/lib/bin/dsee_ntservice.exe kann nicht gelöscht werden.
Dies deutet darauf hin, dass eine Instanz von Directory Server oder Directory Proxy Server ausgeführt wird. Um die Instanzen zu stoppen, klicken Sie in Microsoft Windows 2000 auf Start > Einstellungen > Systemsteuerung. Wählen Sie "Verwaltung" und anschließend "Dienste" aus. Klicken Sie mit der rechten Maustaste auf jede Directory Server- oder Directory Proxy Server- Instanz, die in der rechten Spalte angezeigt wird, und wählen Sie "Anhalten" aus.
Im Directory Service Control Center kann der Vorgang "Suffix-Konfiguration kopieren" zu fehlerhaften Popup-Fenstern führen.
Wenn Sie die Port-Nummer mit dem DSCC auf einem Server mit replizierten Suffixen ändern, treten beim Einrichten der Replikationsvereinbarung zwischen Servern Probleme auf.
Für Server, die im DSCC so registriert sind, dass sie alle Schnittstellen überwachen (0.0.0.0), führt der Versuch, dsconf zum Ändern der Überwachungsadresse der Server zu verwenden, zu DSCC-Fehlern.
Um in Directory Server Enterprise Edition 6.3 nur SSL-Ports und Secure-Listen-Adressen zu überwachen, umgehen Sie das Problem folgendermaßen:
Heben Sie die Registrierung des Servers im DSCC auf:
dsccreg remove-server /local/myserver |
Deaktivieren Sie den LDAP-Port:
dsconf set-server-prop ldap-port:disabled |
Richten Sie eine Secure-Listen-Adresse ein:
dsconf set-server-prop secure-listen-address:IPaddress |
dsadm restart /local/myserver |
Registrieren Sie den Server mit dem DSCC. Geben Sie im Assistenten für die Serverregistrierung die IP-Adresse des Servers an. Dieser Vorgang kann nicht rückgängig gemacht werden.
Während der Replikation eines Masters, auf dem Directory Server 5.1 SP4 ausgeführt wird, auf einen Konsumenten, auf dem Directory Server 6.x ausgeführt wird, wird nsds50ruv beim Konsumenten nicht richtig aktualisiert. Die Folge ist eine beschädigte Replikation mit den entsprechenden Fehlermeldungen im Zugriffsprotokoll.
Die Replikation von einem Master, auf dem Directory Server 6.3 ausgeführt wird, zu einem Master, auf dem Directory Server 5.1 ausgeführt wird, funktioniert nicht.
Versucht ein bekannter Benutzer während der Replikation von Directory Server 5.2 zu Directory Server 6.3 sich mit einem falschen Passwort anzumelden, schlägt die Replikation fehl.
Die Fehlermeldungen beim Directory Server 5.2 lauten sinngemäß wie folgt:
[20. Dez. 2007:11:49:55 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - ruv_init_from_bervals: RUV-Element hat fehlerhafte Form ({Replikat 1})
[20. Dez. 2007:11:49:55 -0800] - ERROR<8221> - Inkrementelles Protokoll - conn=-1 op=-1 msgId=-1 - Fehlgeschlagen - Administratoraktion erforderlich [280R:3891]
Die Fehlermeldungen beim Directory Server 6.x lauten sinngemäß wie folgt:
[20. Dez. 2007:11:38:55 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - Replikat (dc=bcbsm,dc=com) wurde vom Gesamtprotokoll als vollständiges Replikat initialisiert
[20. Dez. 2007:11:45:02 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - csnplCommit: csn 476ac63e000000010000 nicht gefunden
[20. Dez. 2007:11:45:02 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - ruv_update_ruv: csn 476ac63e000000010000 kann nicht übergeben werden
[20. Dez. 2007:11:45:02 -0800] - INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - replica_update_ruv: RUV für Replikat dc=bcbsm,dc=com, csn = 476ac63 e000000010000 kann nicht aktualisiert werden
[20. Dez. 2007:11:45:02 -0800] - FEHLER<8221> - Inkrementelles Protokoll - conn=-1 op=-1 msgId=-1 - Fehlgeschlagen - Administratoraktion erforderlich [280R:389]
Wird eine Passwortrichtlinie mit dem Directory Service Control Center geändert, können nicht geänderte Attribute unwissentlich zurückgesetzt werden.
Wird das Directory Service Control Center zum Verwalten der Standard-Passwortrichtlinie verwendet, treten keine Fehler auf. Wenn das Directory Service Control Center jedoch zum Verwalten spezieller Passwortrichtlinien verwendet wird, können ungeänderte Attribute zurückgesetzt werden.
In einer Topologie mit 150 Mastern kommt es zu einem ungültigen RUV; gelegentlich fehlt die Datei ldap://host:port. Die Replikation kann nicht mit dem Directory Service Control Center überwacht werden. Alle Master werden als "Nicht initialisiert" gemeldet.
Wird CLEANRUV in einer Directory Server 6.3-Topologie angewendet, in der Directory Server 5.2-Datenbanken zum Initialisieren der Directory Server 6.3-Master verwendet wurden, schließen die Directory Server 6.3-Server die Änderungsprotokolle nicht richtig, und beim Neustart wird eine Datenbankwiederherstellung erzwungen.
Auf nativen Installation von Microsoft Windows wird das Directory Service Control Center bei einem Upgrade von Directory Server Enterprise Edition 6.0 auf 6.3 nicht aktualisiert.
Um das Problem zu umgehen, wenden Sie Patch 125311-05 an, falls noch nicht geschehen. Falls Sie Patch 125311-05 bereits angewendet haben, entfernen Sie ihn und wenden anschließend Patch 125311-06 an.
Falls Sie Patch 125311-06 über Patch 125311-05 angewendet haben, entfernen Sie beide Patches und wenden anschließend nur Patch 125311-06 an.
Für andere Kodierungen als UTF-8 und wenn der Installationspfad andere Zeichen als ASCII enthält, kann das Tool dsee_deploy das Java Enterprise System Monitoring Framework im Common Agent Container nicht einrichten.
Nicht alle Suffixe werden auf der Seite mit den verwendeten Suffixen des DSCC angezeigt.
Wenn Sie auf der Registerkarte "Suffixverwendung" in der Tabelle "Zugriffsdatenbank im Cache indizieren" ein Suffix auswählen und auf "Aktualisieren" klicken, wird nur das ausgewählte angezeigt. Hier sollten auch andere Suffixe angezeigt werden.
Wird ein Index eines benutzerdefinierten Schemas erstellt, wird die Änderung von all-ids-threshold auf Suffixebene vom DSCC nicht vollständig durchgesetzt.
Das Tool ds-repair wird in Zip-Installationen auf Microsoft Windows nicht erfolgreich ausgeführt. Die vom Microsoft Windows-System ausgegebenen Fehlermeldungen lauten sinngemäß wie folgt:
dsrepair.exe - Komponente nicht gefunden. Diese Anwendung kann nicht gestartet werden, da NSLDAP32(Versionsnummer).dll nicht gefunden wurde. Das Problem kann eventuell durch eine Neuinstallation der Anwendung behoben werden.
In Zip-Installationen auf Microsoft Windows findet die Datei replcheck.exe die Datei dsrepair.exe nicht. replcheck fix schlägt daher fehl. Die vom Microsoft Windows-System ausgegebenen Fehlermeldungen lauten sinngemäß wie folgt:
dsrepair-Tool nicht gefunden...Installieren Sie es vor dem Starten von replck
Java Enterprise System Monitoring Framework kann Instanzen von Directory Server nicht finden, wenn der Vorgang ns-slapd remote mit rsh gestartet wurde.
Das Directory Service Control Center kann sehr lange ACIs nicht anzeigen. Aufgrund dieses Problems zeigt ihr Browser sinngemäß folgende Fehlermeldungen an:
Ihr Browser hat eine Nachricht gesendet, die von diesem Server nicht verstanden werden kann.
Die gewünschte URL konnte nicht abgerufen werden. Beim Versuch die URL abzurufen: [keine URL] Der folgende Fehler ist aufgetreten: Die Anfrage oder Antwort ist zu groß. Wenn Sie eine POST- oder PUT-Anfrage gesendet haben, ist der Inhalt der Anfrage (das, was Sie hochladen möchten) zu groß. Wenn Sie eine GET-Anfrage gesendet haben, ist der Inhalt der Antwort (das, was Sie herunterladen möchten) zu groß. Die Beschränkungen wurden vom Internet Service Provider eingerichtet, der diesen Cache betreibt. Bitte wenden Sie sich an ihn, wenn Sie der Meinung sind, dass dies ein Fehler ist.
Zertifikate, die lokalisierte Namen enthalten, können nicht vollständig gelöscht werden. Sie werden auch nicht ordnungsgemäß aufgelistet.
Der Directory Server reagiert nicht, wenn der Befehl stop-slapd ausgeführt wird.
dsrepair fix-entry funktioniert nicht, wenn die Quelle ein Tombstone und das Ziel ein Eintrag ist (DEL wird nicht repliziert).
Workaround: Löschen Sie den Eintrag explizit mit dem Befehl dsrepair delete-entry. Anschließend fügen Sie mit dem Befehl dsrepair add-entry den Tombstone hinzu.
Das Directory Service Control Center verfügt nicht über RBAC (rollenbasierte Zugriffskontrolle).
Directory Server stürzte ab, wenn der Server angehalten wird, während ein Export, eine Sicherung, eine Wiederherstellung oder eine Indexerstellung durchgeführt wird.
Wenn Einträge aus LDIF importiert werden, generiert Directory Server keine createTimeStamp- und modifyTimeStamp-Attribute.
Der LDIF-Import ist geschwindigkeitsoptimiert. Diese Attribute werden vom Importprozess nicht generiert. Um diese Einschränkung zu umgehen, fügen Sie die Einträge hinzu anstatt sie zu importieren. Verarbeiten Sie LDIF andernfalls vorab, um die Attribute vor dem Import hinzuzufügen.
Einige Directory Server-Fehlermeldungen verweisen auf das Database Errors Guide (Handbuch mit Datenbankfehlern), das nicht existiert. Wenn Ihnen die Bedeutung einer wichtigen Fehlermeldung nicht klar ist und diese Fehlermeldung nicht dokumentiert ist, wenden Sie sich an den Sun-Support.
Auf der HP-UX-Plattform können Directory Server Enterprise Edition-Handbuchseiten für die folgenden Abschnitte nicht über die Befehlszeile aufgerufen werden:
man5dpconf.
man5dsat.
man5dsconf.
man5dsoc.
man5dssd.
Um dieses Problem zu umgehen, greifen Sie über Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference auf die Handbuchseiten zu. Sie können hier alle Directory Server Enterprise Edition-Handbuchseiten als PDF herunterladen.
Beim Entfernen von Software werden vorhandene Serverinstanzen mit dem Befehl dsee_deploy uninstall weder gestoppt noch gelöscht.
Um diese Einschränkung zu umgehen, folgen Sie den Anweisungen im Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide.
Mit dem Befehl dsconf accord-repl-agmt können die Authentifizierungseigenschaften der Replikationsvereinbarung nicht ausgerichtet werden, wenn die SSL-Client-Authentifizierung am Ziel-Suffix verwendet wird.
Um dieses Problem zu umgehen, speichern Sie das Lieferantenzertifikat in der Konfiguration des Verbrauchers anhand der folgenden Schritte. Der abgebildete Beispielbefehl basiert auf zwei Instanzen auf demselben Host.
Exportieren Sie das Zertifikat in eine Datei.
Im folgenden Beispiel wird dargestellt, wie der Export für Server in /local/supplier und /local/consumer durchgeführt wird.
$ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert |
Tauschen Sie die Client- und Lieferantenzertifikate aus.
Im folgenden Beispiel wird dargestellt, wie der Austausch für Server in /local/supplier und /local/consumer stattfindet.
$ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt |
Fügen Sie den SSL-Clienteintrag auf dem Verbraucher, einschließlich supplierCert-Zertifikat in einem usercertificate;binary-Attribut, mit der entsprechenden subjectDN hinzu.
Fügen Sie den Replikations-Manager-DN auf dem Konsumenten ein.
$ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN |
Aktualisieren Sie die Regeln in /local/consumer/alias/certmap.conf.
Starten Sie beide Server mit dem Befehl dsadm start neu.
Die Zertifikatsnamen mit Multibytezeichen werden in der Ausgabe des Befehls dsadm show-cert instance-path valid-multibyte-cert-name als Punkte angezeigt.
Directory Service Control Center sortiert Werte als Zeichenfolgen. Folglich werden Zahlen in Directory Service Control Center so sortiert, als ob es sich um Zeichenfolgen handelt.
Bei der aufsteigenden Sortierung von 0, 20 und 100 ergibt sich die Liste 0, 100, 20. Bei der absteigenden Sortierung von 0, 20 und 100 ergibt sich die Liste 20, 100, 0.
Die Directory Server-Instanz mit Multibytezeichen im Pfad wird möglicherweise in DSCC nicht erstellt, nicht gestartet oder führt andere normale Aufgaben nicht durch.
Einige dieser Probleme lassen sich lösen, wenn Sie den Zeichensatz verwenden, der zur Erstellung der Instanz verwendet wurde. Den Zeichensatz können Sie mit folgenden Befehlen einstellen:
# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start |
Verwenden Sie ausschließlich die ASCII-Zeichen im Pfad der Instanz, um diese Probleme zu vermeiden.
Directory Server analysiert ACI-Ziel-DNs, die doppelte Anführungszeichen oder ein einfaches Ausweich-Komma enthalten, nicht ordnungsgemäß. Folgende Beispieländerungen führen zu Syntaxfehlern:
dn:o=mary\"red\"doe,o=example.com changetype:modify add:aci aci:(target="ldap:///o=mary\"red\"doe,o=example.com") (targetattr="*")(version 3.0; acl "testQuotes"; allow (all) userdn ="ldap:///self";)
dn:o=Example Company\, Inc.,dc=example,dc=com changetype:modify add:aci aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com") (targetattr="*")(version 3.0; acl "testComma"; allow (all) userdn ="ldap:///self";)
Es gibt jedoch auch Beispiele mit mehreren Ausweich-Kommas, die ordnungsgemäß analysiert wurden.
Mit dem dpconf-Befehl wird die Eingabeaufforderung Enter "cn=Directory Manager" password: zweimal angezeigt, wenn sie im interaktiven Modus verwendet wird.
Unter Windows schlägt die SASL-Authentifizierung aus den zwei folgenden Gründen fehl:
SASL-Verschlüsselung wird verwendet.
Um dieses von der SASL-Verschlüsselung verursachte Problem zu umgehen, stoppen Sie den Server, bearbeiten Sie dse.ldif, und stellen Sie für SASL Folgendes ein:
dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0 |
Die Installation wird unter Verwendung von nativen Paketen durchgeführt.
Um dieses von der Installation über native Pakete verursachte Problem zu umgehen, stellen Sie SASL_PATH auf install-dir\share\lib ein.
Directory Service Control Center zeigt userCertificate-Binärwerte nicht richtig an.
Das Directory Service Control Center und der Befehl dsadm zeigen in Version 6.1 oder höher integrierte CA-Zertifikate von Directory Server-Instanzen nicht an, die mit dem Befehl dsadm in Version 6.0 erstellt wurden.
Problemumgehung:
Fügen Sie das 64-Bit-Modul mit der 64-Bit-Version von modutil hinzu:
$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb -dbdir /instance-path/alias -dbprefix slapd- -secmod.db |
Der Konfigurationsattributname passwordRootdnMayBypassModsCheck gibt nicht eindeutig an, dass der Server es jetzt jedem Administrator erlaubt, die Passwortsyntaxprüfung zu umgehen, wenn das Passwort eines anderen Benutzers geändert wird.
Unter Windows werden die Ausgabe der Befehle dsadm und dpadm sowie Hilfemitteilungen in vereinfachtem und traditionellem Chinesisch nicht lokalisiert.
Im Directory Service Control Center kann zwar die Konfiguration eines vorhandenen Servers kopiert werden, nicht jedoch die Plug-In-Konfiguration.
Auf Windows-Systemen schlug der Befehl dsconf zum Importieren von LDIF mit Doppelbytezeichen im LDIF-Dateinamen fehl.
Um dieses Problem zu umgehen, müssen Sie den LDIF-Dateinamen so ändern, dass er keine Doppelbytezeichen enthält.
Der Befehl dsadm enable-service funktioniert mit Sun Cluster nicht ordnungsgemäß.
Es kam vor, dass der Befehl dsee_deploy hängt, wenn die Monitoring Framework-Komponenten im Common Agent Container registriert wird.
Vom unterstützten SSLCiphers-Attribut für Root-DSE werden NULL-Verschlüsselungen aufgelistet, die vom Server nicht unterstützt werden.
Sie können weder mit Directory Service Control Center noch mit dem Befehl dsconf konfigurieren, wie Directory Server ungültige Plug-In-Signaturen verarbeitet. Das Standardverhalten besteht darin, dass die Plug-In-Signaturen geprüft werden. Sie müssen aber nicht gültig sein. Directory Server protokolliert eine Warnmeldung für ungültige Signaturen.
Um das Serververhalten zu ändern, ändern Sie die Attribute ds-require-valid-plugin-signature und ds-verify-valid-plugin-signature in cn=config. Beide Attribute verwenden entweder on oder off.
Der Massenimport-Befehl ldapmodify kann vorhandene Daten beschädigen. Wird die Option -B suffix angegeben, werden alle vorhandenen Daten im Suffix gelöscht.
Die Angabe auf der Handbuchseite ldapmodify, dass Massenimporte mit dem Befehl ldapmodify vorhandene Einträge nicht löschen, ist daher falsch.
Directory Service Control Center lässt das Durchsuchen eines Suffixes nicht zu, das so konfiguriert ist, dass es einen Bezug auf ein anderes Suffix zurückgibt.
Nach der Installation und nac der Erstellung von Serverinstanzen auf Windows-Systemen ist gemäß den Dateiberechtigungen für die Installations- und Serverinstanz-Ordner der Zugriff für alle Benutzer möglich.
Dieses Problem lässt sich umgehen, indem die Berechtigungen für die Installations- und Serverinstanz-Ordner geändert werden.
Wenn der Bezugsmodus für Directory Server mit Directory Service Control Center über Internet Explorer 6 aktiviert wird, ist der Text im Fenster zur Bestätigung des Bezugsmodus abgeschnitten.
Um dieses Problem zu umgehen, verwenden Sie einen anderen Browser, beispielsweise den Mozilla-Webbrowser.
Nachdem ein Replikat aufgerüstet und Server auf neue Systeme übertragen wurden, müssen Replikationsvereinbarungen neu erstellt werden, damit neue Hostnamen verwendet werden können. Directory Service Control Center ermöglicht das Löschen der vorhandenen Replikationsvereinbarungen, das Erstellen neuer Vereinbarungen wird jedoch unterbunden.
Auf Red Hat-Systemen wird mit dem Befehl dsadm autostart nicht immer sichergestellt, dass die Serverinstanzen beim Booten gestartet werden.
Der Befehl dsconf fordert bei der DSML-Konfiguration nicht zum Vornehmen der entsprechenden dsSearchBaseDN-Einstellung auf.
Auf Windows-Systemen konnte Directory Server in einigen Fällen nicht gestartet werden, wenn der Basisname der Instanz ds lautet.
Wenn die Installation über die zip-Verteilung erfolgt, stellt der Befehl dsee_deploy keine Option zur Konfiguration von SNMP und Stream-Adapterports bereit.
Problemumgehung:
Aktivierung von Monitoring-Plugin unter Verwendung der Web-Konsole oder dpconf.
Unter Verwendung von cacaoadm set-param, ändern Sie snmp-adaptor-port, snmp-adaptor-trap-port und commandstream-adaptor-port.
Der Befehl dsconf help-properties funktioniert erst nach der Instanzenerstellung vorschriftsmäßig. Zudem sollte die korrekte Liste mit Werten für den dsml-client-auth-mode-Befehl client-cert-first | http-basic-only | client-cert-only lauten.
In der Nativ-Patch-Bereitstellung ist der Miniaturkalender, aus dem Datumsangaben für das Filtern von Zugriffsprotokollen ausgewählt werden, nicht ordnungsgemäß in traditionellem Chinesisch lokalisiert.
In einigen Fällen ist die Ausgabe der Befehle dsccmon, dsccreg, dsccsetup und dsccrepair nicht lokalisiert.
Durch eine Änderung des Gebietsschemas und Starten von DSCC wird die Popupfenster-Meldung nicht in der von Ihnen ausgewählten Sprache angezeigt.
Unter Solaris 10 schlägt die Passwortbestätigung für Instanzen mit Multibytezeichen im DN in den Gebietsschemata Englisch und Japanisch fehl.
Wenn auf HP-UX gdb von einem laufenden ns-slapd-Prozess getrennt wird, wird der Prozess abgebrochen und ein Speicherabbild erzeugt.
Auf HP-UX-Systemen kommt es bei Anwendungen mit NSPR-Bibliotheken zu Abstürzen und Core-Dumps, nachdem die Überprüfung mit gdb durchgeführt wurde. Dieses Problem tritt auf, wenn Sie gdb an eine derzeit ausgeführte Directory Server -Instanz anhängen und dann den Befehl gdb quit verwenden.
Durch Klicken auf "DSCC-Online-Hilfe durchsuchen" wird bei der Verwendung von Internet Explorer nicht die Online-Hilfe angezeigt.
Das API-Plugin von Directory Server umfasst die Funktionen slapi_value_init()(), slapi_value_init_string()() und slapi_value_init_berval()().
Diese Funktionen erfordern alle eine "done"-Funktion zur Freigabe interner Elemente. Allerdings fehlt bei der öffentlichen API eine slapi_value_done()()-Funktion.
Bei der Verwendung von Service Management Facility (SMF) in Solaris 10 zur Aktivierung einer Serverinstanz wird die Instanz möglicherweise nicht gestartet, wenn Sie Ihr System neu starten.
Um das Problem zu umgehen, können Sie, falls der Befehl dsadm enable service noch nie verwendet wurde, folgende mit + gekennzeichnete Zeilen zu /opt/SUNWdsee/ds6/install/tmpl_smf.manifest hinzufügen.
... restart_on="none" type="service"> <service_fmri value="svc:/network/initial:default"/> </dependency> + <dependency name="nameservice" grouping="require_all" \ + restart_on="none" type="service"> + <service_fmri value="svc:/milestone/name-services"/> + </dependency> <exec_method type="method" name="start" exec="%%%INSTALL_PATH%%%/bin/dsadm start --exec %{sunds/path}"... |
Wurde der Befehl dsadm enable service zuvor bereits verwendet, umgehen Sie das Problem wie folgt:
Erstellen Sie eine Datei mit folgendem Inhalt:
select ds addpg nameservice dependency setprop nameservice/grouping = astring: require_all setprop nameservice/restart_on = astring: none setprop nameservice/type = astring: service setprop nameservice/entities = fmri: "svc:/milestone/name-services" |
Führen Sie den folgenden Befehl an der Datei aus:
svccfg -f file |
Falls sich einige Instanzen im Wartungszustand befinden, führen Sie folgende Befehle aus:
svcadm clear svc:-application-sun-ds:ds-{instancepath} |
Unter HP-UX finden die Befehle dsadm und dpadm möglicherweise nicht die gemeinsam verwendete Bibliothek libicudata.sl.3.
Um das Problem zu umgehen, setzen Sie die Variable SHLIB_PATH.
env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm |
Sie erhalten möglicherweise eine Fehlermeldung, wenn DSCC mit der Kombination aus Tomcat 5.5 und JDK 1.6 verwendet wird.
Verwenden Sie zur Umgehung des Problems stattdessen JDK 1.5.
Sun Java System Application Server im Paket mit Solaris 10 kann keine SASL-Client-Verbindung für authentifizierten Mechanismus erstellen und kommuniziert nicht mit Common Agent Container.
Ändern Sie zur Umgehung des Problems die vom Anwendungsserver verwendete JVM, indem Sie die Datei appserver-install-path/appserver/config/asenv.conf bearbeiten und den Eintrag AS_JAVA durch AS_JAVA="/usr/java" ersetzen. Starten Sie Ihre Anwendungsserverdomäne neu.
Durch dsadm autostart kann die native LDAP-Authentifizierung fehlschlagen, wenn Sie das System neu starten.
Um das Problem zu umgehen, kehren Sie die Reihenfolge der Reboot-Skripts um. Die Standardreihenfolge ist /etc/rc2.d/S71ldap.client und /etc/rc2.d/S72dsee_directory.
Wenn Sie unter Solaris 9 und Windows auf die Onlinehilfe über die mit Web Archive(WAR)-Datei konfigurierte Konsole zugreifen, wird eine Fehlermeldung ausgegeben.
Wenn die Unzip-Funktion im System nicht verfügbar ist, wird durch dsee_deploy kein Produkt installiert.
Im Directory Service Control Center ist die traditionell chinesische Übersetzung der Zeichenkette "Suffix mit Daten intialisieren... "in den Replikationseinstellungen missverständlich.
Wenn Sie unter koreanischem Gebietsschema im Bereich für verschlüsselte Attribute des Directory Service Control Center auf die Schaltfläche zum Entfernen von Attributen klicken, wird die folgende unvollständige Fehlermeldung angezeigt:
You have chosen to remove |
Die Meldung sollte folgendermaßen lauten:
Sie möchten {0} aus der Liste der verschlüsselten Attribute entfernen. Damit die Datenbankdateien der Konfiguration entsprechen und korrekt funktionieren, müssen Sie das Suffix initialisieren. Möchten Sie fortfahren? |