コネクタの問題のトラブルシューティング
ここで示す情報を使用して、コネクタに関する問題をトラブルシューティングします。ここでは、次の内容について説明します。
この章の内容は次のとおりです。
コネクタの一般的なトラブルシューティングについて
すべてのコネクタがインストールされていることを確認します。同期しているディレクトリソースごとに 1 つのコネクタをインストールする必要があります。
ソースコネクタがユーザーに対する変更を検出することを確認します。ユーザーが追加または変更したディレクトリソースのコネクタが変更を検出するかどうかを確認するには、セントラル監査ログを使用します。
Identity Synchronization for Windows コンソールまたは idsync printstat コマンドを使用して、すべてのコネクタが SYNCING 状態であることを確認します。
ターゲットコネクタが変更を処理するかどうかを確認します。
ディレクトリソースを管理するコネクタの ID の確認
コネクタ ID は、セントラルログを使用するか、idsync printstat コマンドを使用することで確認できます。
セントラル監査ログを確認すると、同期させるディレクトリソースのコネクタ ID を調べることができます。起動時に、各コネクタの ID とそれが管理するディレクトリソースのログがセントラルロガーに記録されます。起動バナーの最後のインスタンスを探し、最新情報を確認します。
たとえば、次のログエントリには 2 つのコネクタ ID が含まれています。
-
CNN101 は、dc=example,dc=com を管理する Directory Server コネクタ
-
CNN100 は、example.com ドメインを管理する Active Directory コネクタ
[2006/03/19 00:00:00.722 -0600] INFO 16 "System Component Information: SysMgr_100 is the system manager (CORE); console is the Product Console User Interface; CNN101 is the connector that manages [dc=example,dc=com (ldap://host1.example.com:389)]; CNN100 is the connector that manages [example.com (ldaps://host2.example.com:636)];" |
idsync printstat コマンドによるコネクタ ID の確認の詳細については、「idsync printstat コマンドの使用」を参照してください。
コネクタの現在の状態の取得と管理
同期に関連するコネクタの現在の状態を確認するには、Identity Synchronization for Windows コンソールの「状態」パネルを使用するか、idsync printstat コマンドを使用するか、またはセントラル監査ログで確認します。
監査ログを使用するには、コネクタ状態を示す最後のメッセージを検索します。たとえば、次の監査ログエントリは、コネクタ CNN101 が READY 状態であることを示しています。
[2006/03/19 10:20:16.889 -0600] INFO 13 SysMgr_100 host1 "Connector [CNN101] is now in state "READY"." |
|
状態 |
定義 |
|---|---|
|
UNINSTALLED |
コネクタはインストールされていません。 |
|
INSTALLED |
コネクタはインストールされていますが、設定されていません。 |
|
READY |
コネクタはインストールおよび設定されていますが、同期していません。 |
|
SYNCING |
コネクタはインストールおよび設定されていて、同期中です。 |
UNINSTALLED 状態のコネクタのトラブルシューティング
コネクタが UNINSTALLED 状態の場合は、コネクタをインストールする必要があります。
INSTALLED 状態のコネクタのトラブルシューティング
コネクタが長期間 INSTALLED 状態のままの場合は、実行されていないか、Message Queue と通信できない可能性があります。
コネクタがインストールされているマシンで、可能性のあるエラーを監査およびエラーログで確認します。たとえば、コネクタが Message Queue に接続できない場合は、そのエラーログに問題が報告されます。コネクタが Message Queue に接続できない場合は、「Message Queue コンポーネントのトラブルシューティング」で考えられる原因を確認してください。
監査ログ内の最新メッセージが古い場合は、コネクタが実行されていない可能性があります。コネクタの起動については、「ウォッチドッグプロセスとコアコンポーネントのトラブルシューティング」を参照してください。
READY 状態のコネクタのトラブルシューティング
コネクタに接続されたすべてのサブコンポーネントで同期が始まるまで、コネクタは READY 状態のままです。同期が開始されていない場合は、Identity Synchronization for Windows コンソールまたはコマンド行ユーティリティーを使用して開始します。
同期を開始してもコネクタが SYNCING 状態にならない場合は、サブコンポーネントのいずれかに問題がある可能性があります。詳細については、「コネクタサブコンポーネントのトラブルシューティング」を参照してください。
SYNCING 状態のコネクタのトラブルシューティング
すべてのコネクタが SYNCING 状態になっていても、変更が同期されていない場合は、同期設定が正しいことを確認します。
Identity Synchronization for Windows コンソールを使用して、変更と作成が正しい方向、たとえば Windows から Directory Server に同期されることを確認します。また、変更される属性が同期された属性であることを確認します。作成されたユーザーエントリが同期されていない場合は、Identity Synchronization for Windows コンソールでユーザー作成フローが有効になっているか確認します。
注 –
パスワードは常に同期されます。
引き続き問題が発生する場合は、ソースコネクタがユーザーに対する変更を検出するかどうかを確認します。ユーザーが追加または変更したディレクトリソースのコネクタが変更を検出するかどうかを確認するには、セントラル監査ログを使用します。また、ターゲットコネクタが変更を処理するかどうかも確認します。
Active Directory コネクタの問題のトラブルシューティング
Active Directory コネクタが SSL を介した Active Directory の接続に失敗し、次のエラーメッセージが表示される場合は、Active Directory ドメインコントローラを再起動します。
Failed to open connection to ldaps://server.example.com:636, error(91): Cannot connect to the LDAP server, reason: SSL_ForceHandshake failed: (-5938) Encountered end of file. |
Active Directory での変更の検出と適用が失敗する場合は、アクセス権が不十分である可能性があります。Active Directory コネクタ用に管理者以外のアカウントが使用されている場合、このユーザーのデフォルトのアクセス権は十分ではありません。一部の操作 (Active Directory から Directory Server への再同期など) は、Active Directory での変更の検出や適用などのほかの操作が突然失敗しても成功します。たとえば、Active Directory から Directory Server に削除を同期する場合は、フルアクセス権であっても不十分です。この問題を解決するには、Active Directory コネクタのドメイン管理者アカウントを使用する必要があります。
- © 2010, Oracle Corporation and/or its affiliates