目录服务器 中的已知问题和限制

以下各节列出了版本发行时的已知问题和限制。

• 目录服务器 限制

• 6.3.1 中的 目录服务器 已知问题

目录服务器 限制

请勿手动更改文件权限。

在某些情况下，更改已安装的 Directory Server Enterprise Edition 产品文件的 文件权限会使软件无法正常运行。必须遵循产品 文档中的说明或 Sun 支持的说明来更改 文件权限。

要解决此限制，请以具有相应用户和组权限 的用户身份安装产品并创建服务器实例。

请勿复制 cn=changelog 后缀。

尽管，没有任何设置阻止您为 cn=changelog 后缀设置复制，但执行此操作会干扰复制。请勿复制 cn=changelog 后缀。cn=changelog 后缀由 retro 更改日志插件创建。

在 Sun Cluster 上进行故障转移后数据库高速缓存可能已过时。

目录服务器 支持 Sun Cluster 3.2。当 目录服务器 在 Sun Cluster 上运行时，而且 nsslapd-db-home-directory 被设置为使用非共享目录，则多个实例共享数据库高速缓存文件。 故障转移后，新节点上的 目录服务器 实例使用的是其可能已过时的数据库高速缓存文件。

要解决此限制，请使用 nsslapd-db-home-directory 的共享目录，或者在 目录服务器 启动时系统地删除 nsslapd-db-home-directory 下的文件。

LD_LIBRARY_PATH 包含 /usr/lib 时会加载错误的 SASL 库。

LD_LIBRARY_PATH 包含 /usr/lib 时，系统会使用错误的 SASL 库，从而导致 dsadm 命令在安装完成后失败。

使用 LDAP 替换操作更改 cn=config 属性。

对 cn=config 进行的 LDAP 修改操作仅可使用替换子操作。对添加或删除属性操作的任何尝试都将被拒绝，并将显示 DSA 不会执行，错误 53。目录服务器 5 接受添加或删除属性或属性值的操作时，更新会应用到 dse.ldif 文件且不验证任何值，并且 DSA 内部状态直到 DSA 停止然后启动后才会更新。

---

注 –

cn=config 配置界面已过时。在可行的位置改为使用 dsconf 命令。

---

要解决此限制，可使用 LDAP 修改替换子操作替换添加或删除子操作。在功能上不会有任何损失。此外，DSA 配置的状态在更改后更易预测。

在 Windows 系统中，目录服务器 不允许默认情况下使用 Start TLS。

此问题仅会影响 Windows 系统中的服务器实例。此问题由于在使用 Start TLS 时会影响 Windows 系统的性能所致。

要解决此问题，请考虑将 -P 选项和 dsconf 命令配合使用，以使用 SSL 端口直接进行连接。另外，如果您的网络连接已被保护，请考虑将 -e 选项和 dsconf 命令配合使用。该选项使您可以连接到标准端口而无需请求安全连接。

复制更新矢量可能引用已删除的服务器。

从复制拓扑中删除复制的 目录服务器 实例后，复制更新矢量仍会继续引用该实例。结果是，您可能遇到对已不再存在的实例的引用。

Common Agent Container 在引导时不能启动。

要在从本地软件包进行安装时解决此问题，请使用 cacaoadm enable 命令作为 root。

要在 Windows 中解决此问题，请从 Common Agent Container 服务的属性中选择“登录”，输入运行该服务的用户的密码，然后按“应用”。如果您尚未进行此设置，将收到消息指明已为帐户用户名授予“作为服务登录”的权限。

max-thread-per-connection-count 在 Windows 系统中没有用处。

目录服务器 配置属性 max-thread-per-connection-count 不适用于 Windows 系统。

Microsoft Windows 错误显示服务启动类型被禁用。

Microsoft Windows 2000 Standard Edition 错误 导致 目录服务器 服务从 Microsoft 管理控制台删除后仍显示为禁用。

控制台不允许管理员登录到 Windows XP

控制台不允许管理员登录到运行 Windows Xp 的服务器。

此问题的解决方法是，必须禁用 Guest 帐户，且 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 必须设置为 0。

动态更改索引配置

如果更改属性的索引配置，则系统会将包括属性作为过滤器的所有搜索视为未建立索引。要确保包括属性的搜索正确被处理，请在每次更改属性的索引配置后，使用 dsadm reindex 或 dsconf reindex 命令重新生成现有索引。有关详细信息，请参阅 《Sun Java System Directory Server Enterprise Edition 6.3 管理指南》中的第 13  章 “目录服务器索引”。

如果 Directory Manager 的密码包含空格字符，则控制台不允许您创建 Directory Server 或 Directory Proxy Server 实例。(6830908)

如果 Directory Manager 的密码包含空格字符，则 Directory Manager 账户不能通过使用控制台创建目录服务器或目录代理服务器实例。

由于同样的问题，如果密码文件包含空格字符，则命令 dsccsetup ads-create —w password-file 失效。

DSEE6.0 PatchZIP 交付不支持 SMF。(6886089)

从 DSEE 6.0 和更新发行版的 zip 分发包安装的实例中，dsadm 和 dpadm 命令不支持服务管理工具 (SMF)。如果实例为手动注册到 SMF，则它由 SMF 控制，从而如果通过 dsadm 或 dpadm 命令或通过 DSCC 停止实例，则 SMF 将重新启动该实例。

仅在 DSEE 6.0 和更新发行版的本地分发中全面支持 SMF 功能。

6.3.1 中的 目录服务器 已知问题

本节列出了在发布 目录服务器 6.3.1 时发现的已知问题。

2113177

在执行导出、备份、存储或建立索引期间停止服务器时，目录服务器 出现故障。

2129151

正在运行 stop-slapd 命令时，目录服务器 会挂起。

2133169

从 LDIF 导入条目时，目录服务器 不能生成 createTimeStamp 和 modifyTimeStamp 属性。

LDIF 导入为提高速度而进行了优化。导入过程不会生成这些属性。要解决此问题，请添加而不是导入条目。另外，预处理 LDIF 以在导入前添加属性。

2151022

如果证书包含本地化名称，则证书不能正常删除。此外它们也不能被正常列出。

4979319

一些 目录服务器 错误引用 Database Errors Guide，其并不存在。如果您无法理解未记录的严重错误消息的含义，请与 Sun 支持部门联系。

6358392

删除软件时，dsee_deploy uninstall 命令不停止或删除现有的服务器实例。

要解决此限制，请按 《Sun Java System Directory Server Enterprise Edition 6.3 Installation Guide 》 中的说明执行。

6401484

对目标后缀使用 SSL 客户端验证时，dsconf accord-repl-agmt 命令无法使复制协议的验证属性一致。

要解决此问题，请执行以下步骤将供应者证书存储在使用方的配置中。显示的命令示例基于同一主机的两个实例。

1. 将证书导出到文件。

   以下示例显示了符合为 /local/supplier 和 /local/consumer 中的服务器执行导出。

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. 交换客户端证书和供应者证书。

   以下示例显示了如何为 /local/supplier 和 /local/consumer 中服务器执行交换。

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. 使用正确的 subjectDN 将 SSL 客户端条目添加到使用方，包括 usercertificate;binary 属性中的 supplierCert 证书。

4. 将复制管理器 DN 添加到使用方。

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. 更新 /local/consumer/alias/certmap.conf 中的规则。

6. 使用 dsadm start 命令重新启动两台服务器。

6410741

目录服务控制中心 将值作为字符串进行排序。因此，您在 目录服务控制中心 中排序数字时，这些数字会被视为字符串。

0、20 和 100 按升序排列的结果为 0、100、20。 0、20 和 100 按降序排列的结果为 20、100、0。

6412131

包含多字节字符的证书名在 dsadm show-cert instance-path valid-multibyte-cert-name 命令的输出中显示为点。

6416407

目录服务器 不能正确地解析包含换码引号或单个换码逗号的 ACI 目标 DN。以下修改示例导致语法错误。

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

但是，在具有多个已换码逗号的情况下，已证实可以正确地进行解析。

6428448

dpconf 命令在交互模式下显示 Enter "cn=Directory Manager" password: 提示两次。

6446318

在 Windows 中，SASL 验证因以下两个原因失败：

• 使用了 SASL 加密。

  要解决 SASL 加密导致的问题，请停止服务器，编辑 dse.ldif，然后将 SASL 重置为以下设置。

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• 安装使用本地软件包完成。

  要解决本地软件包安装导致的问题，请将 SASL_PATH 设置为 install-dir\share\lib。

6449828

目录服务控制中心 不能正确地显示 userCertificate 二进制值。

6461602

如果源为逻辑删除 (tombstone) 且目标为条目，则 dsrepair fix-entry 不起作用。

解决方法：使用 dsrepair delete-entry 命令明确删除条目。然后，使用 dsrepair add-entry 命令添加逻辑删除 (tombstone)。

6468074

设置了 passwordRootdnMayBypassModsCheck 配置属性后，无法从该配置属性的名称明确判断服务器现在是否允许任何管理员在修改其他用户的密码时规避密码语法检查。

6469154

在 Windows 中，dsadm 和 dpadm 命令的输出以及帮助消息未本地化为简体中文和繁体中文。

6469296

尽管 目录服务控制中心 允许您复制现有服务器的配置，其并不允许您复制插件的配置。

6469688

在 Windows 系统中，dsconf 命令无法导入 LDIF 文件名中具有双字节字符的 LDIF。

要解决此问题，请更改 LDIF 文件名，使其不包含双字节字符。

6478568

dsadm enable-service 命令在 Sun Cluster 上无法正常运行。

6480753

在将 Monitoring Framework 组件注册到 Common Agent Container 中时，dsee_deploy 命令有挂起现象。

6482378

根 DSE 上支持的 SSLCiphers 属性列出的 NULL 加密密码实际上不受服务器支持。

6483290

目录服务控制中心 和 dsconf 命令都不允许您配置 目录服务器 处理无效差价签名的方式。默认行为是验证插件签名，但并不是要求它们有效。目录服务器 会针对无效签名记录警告。

要更改服务器行为，请调整 cn=config 上的 ds-require-valid-plugin-signature 和 ds-verify-valid-plugin-signature 属性。可以将两个属性设置为 on 或 off。

6485560

目录服务控制中心 不允许您浏览配置为返回对其他后缀引用的后缀。

6488197

在 Windows 系统上安装并创建服务器实例后，安装和服务器实例文件夹的文件访问权限允许所有用户进行访问。

要解决此问题，请更改安装和服务器实例文件夹上的权限。

6488284

对于 HP-UX 平台，无法从命令行访问以下各节的 Directory Server Enterprise Edition 手册页：

• man5dpconf.

• man5dsat.

• man5dsconf.

• man5dsoc.

• man5dssd.

要解决此问题，请访问 《Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference》 中的手册页。从该位置中，您可以下载所有 Directory Server Enterprise Edition 手册页的 PDF 格式文件。

6490557

尝试输入无效 CoS 模板导致 Directory Server 6 版本出现故障。

6490653

使用 目录服务控制中心 通过 Internet Explorer 6 为 目录服务器 启用引用模式时，确认引用模式窗口中的文本被截断。

要解决此问题，请使用其他浏览器，例如 Mozilla Web 浏览器。

6491849

升级副本并将服务器移动到新系统后，您必须重新创建复制协议才能使用更新主机名。目录服务控制中心 使您可以删除现有复制协议，但不允许您创建新协议。

6492894

在 Red Hat 系统中，dsadm autostart 命令不总是确保服务器实例在引导时启动。

6494997

dsconf 命令在配置 DSML 时不提示输入相应的 dsSearchBaseDN。

6495004

在 Windows 系统中，目录服务器 在实例的基名为 ds 时无法启动。

6497053

从 zip 分发包安装时，dsee_deploy 命令不提供配置 SNMP 和流适配器端口的选项。

要解决此问题，

1. 使用 web 控制台或 dpconf 启用监视插件。

2. 使用 cacaoadm set-param，更改 snmp-adaptor-port 、snmp-adaptor-trap-port 和 commandstream-adaptor-port 。

6497894

dsconf help-properties 命令设置为仅在创建实例后正常发挥作用。此外，dsml-client-auth-mode 命令值的正确列表应为 client-cert-first | http-basic-only | client-cert-only。

6500936

在本地修补程序传送中，用于为过滤访问日志选择日期的小型日历在繁体中文版本中未正确地本地化。

6501320

在自定义模式下建立索引时，DSCC 未完全传播 all-ids-threshold 的后缀级别更改。

6503509

dsccmon、dsccreg、dsccsetup 和 dsccrepair 命令显示的部分输出未被本地化。

6503546

更改系统的语言环境并启动 DSCC 不会以您选择的语言环境显示弹出窗口消息。

6504180

在 Solaris 10 中，对其 DN 在英语和日语语言环境中具有多字节字符的实例进行密码验证失败。

6504549

如果 ns-slapd 进程是使用 rsh 远程启动的，则 Java Enterprise System Monitoring Framework 不能成功地找到 目录服务器 的实例。

6506019

在 HP-UX 上，从运行的 ns-slapd 进程退出 gdb，结束进程并生成核心信息转储。

6507312

在 HP-UX 系统中，通过 gdb 进行调查后，使用 NSPR 库的应用程序会出现故障并进行信息转储。将 gdb 连接到正在运行的 目录服务器 实例，然后使用 gdb quit 命令时，会出现该问题。

6520646

在使用 Internet Explorer 时，单击浏览 DSCC 联机帮助不会显示联机帮助。

6527999

Directory Server 插件 API 包括 slapi_value_init()()、slapi_value_init_string()() 和 slapi_value_init_berval() () 函数。

这些函数都需要“完成”的函数释放内部元素。但是，公共 API 缺少 slapi_value_done()() 函数。

6539650

路径中带有多字节字符的 目录服务器 实例可能在 DSCC 中无法创建，以启动或执行其他常规任务。

这些问题中的一部分可以通过使用原用于创建实例的字符集予以解决。使用以下命令设置字符集：

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

在实例路径中仅使用 ASCII 字符以避免这些问题。

6541040

使用 目录服务控制中心 修改密码策略时，可能会无意间重置尚未更改的属性。

使用 目录服务控制中心 管理默认密码策略不会导致任何错误。但是，使用 目录服务控制中心 管理专用密码策略会导致未更改的属性被重置。

6542857

在 Solaris 10 中使用服务管理工具 (SMF) 启用服务器实例时，该实例在您重新启动系统时可能不会启动，并返回以下错误：

svcadm: Instance "svc:/instance_path" is in maintenance state.

要解决此问题，请使用本地用户身份创建 Directory Server 和 目录代理服务器 服务器。

6547992

在 HP-UX 中，dsadm 和 dpadm 命令可能找不到 libicudata.sl.3 共享库。

此问题的解决方法是，设置 SHLIB_PATH 变量。

env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm

6550543

将 DSCC 用于 Tomcat 5.5 和 JDK 1.6 的组合时，您可能会遇到错误。

解决方法时，改为使用 JDK 1.5。

6551672

捆绑有 Solaris 10 的 Sun Java System Application Server 不能创建用于验证机制的 SASL 客户端连接，不与 Common Agent Container 通信。

解决方法是，通过编辑 appserver-install-path/appserver/config/asenv.conf 文件并用 AS_JAVA="/usr/java" 替换 AS_JAVA 条目，更改应用程序服务器所使用的 JVM。重新启动应用程序服务器域。

6551685

在重新引导系统时，dsadm autostart 会使本地 LDAP 验证失败。

解决方法是，以相反的顺序排序重新引导脚本。默认顺序为 /etc/rc2.d/S71ldap.client 和 /etc/rc2.d/S72dsee_directory。

6557480

在 Solaris 9 和 Windows 中，从控制台访问使用 Web 归档文件 (WAR) 配置的联机帮助时，系统会显示错误。

6559825

如果使用 DSCC 在已复制后缀的服务器上修改端口号，则设置服务器之间的复制协议时会出现问题。

6571672

如果系统上的解压缩不可用，则 dsee_deploy 不会安装任何产品。

6583131

要使用本地化 目录服务控制中心，请在 Directory Server Enterprise Edition 6.3.1 核心修补程序之前应用 Directory Server Enterprise Edition 6.3.1 本地化修补程序，或者按指定顺序运行以下命令。

# dsccsetup console-unreg # dsccsetup console-reg

如果在 Directory Server Enterprise Edition 6.3.1 修补程序之前应用了 Directory Server Enterprise Edition 6.3.1 本地化修补程序，则无需运行 dsccsetup console-unreg 和 console reg 命令。

对于基于 zip 的安装，Directory Server Enterprise Edition 6.3.1 本地化修补程序不会自动应用于 目录服务控制中心。解决方法是，取消部署然后重新部署 WAR 文件。

6587801

目录服务控制中心 和 6.1 或更高版本中的 dsadm 命令不显示在 6.0 版本中使用 dsadm 命令创建的 目录服务器 实例的内置 CA 证书。

要解决此问题，请执行以下步骤：

使用 64 位版本的 modutil 添加 64 位模块：

$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db

6594285

目录服务控制中心 无 RBAC 功能。

6595805

对于 UTF-8 以外的编码，当安装路径包含非 ASCII 字符时， dsee_deploy 工具无法在 Common Agent Container 内设置 Java Enterprise System Monitoring Framework。

6630897

dsadm show-*-log l 命令的输出不包括更正行。它包括上一轮转日志的最后几行。

6630924

如果日志中的部分行包含 1024 个以上的字符，则 dsadm show-*-log 命令的输出不正确。

6634397

对于在 DSCC 中注册为侦听所有接口 (0.0.0.0) 的服务器，尝试使用 dsconf 修改服务器的侦听地址会产生 DSCC 错误。

要仅使用 SSL 端口并通过 Directory Server Enterprise Edition 6.3 设置 secure-listen-address，请使用以下解决方法：

1. 从 DSCC 取消注册服务器：

   dsccreg remove-server /local/myserver

2. 禁用 LDAP 端口：

   dsconf set-server-prop ldap-port:disabled

3. 设置 secure-listen-address：

   dsconf set-server-prop secure-listen-address:IPaddress

   dsadm restart /local/myserver

4. 使用 DSCC 注册服务器。在“注册服务器”向导中，指定服务器的 IP 地址。此操作无法撤消。

6637242

部署 WAR 文件后，“查看拓扑”按钮不总是起作用。有时出现 Java 异常，其基于 org.apache.jsp.jsp.ReplicationTopology_jsp._jspService

6638990 / 6641357

ldapmodify 大容量导入命令可能会损坏现有数据。指定选项 -B suffix 导致后缀中的所有现有数据被删除。

因此，当 ldapmodify 手册页声明使用 ldapmodify 命令不会清除已经存在的条目时，这一表述不正确。

6640755

在韩文语言环境的 Windows 中，ns-slapd 无法启动时，dsadm start 命令不能显示 nsslapd 错误日志。

6644161

在韩文语言环境中，单击 目录服务控制中心 的“加密属性部分”中的“删除属性”按钮显示以下不完整的错误消息：

You have chosen to remove

消息应该如下：

You have chosen to remove {0} from the list of encrypted attributes. In order for the database files to reflect the configuration and to work properly you must Initialize the Suffix. Do you want to continue?

6648240

更改或删除 目录服务控制中心 中“索引”选项卡下“其他索引”表中的属性，会导致显示过时的信息，直到刷新浏览器。

6650105

在 Windows 2000 zip 分发包中上，在使用 Internet Explorer 6 的Tomcat 5.5 应用程序服务器中，在 目录服务控制中心 “新 DS 访问控制说明”向导的“第三步：分配访问权限”中，单击“分配权限到指定用户”列表框中的“删除”按钮，可能产生以下异常情况：

The following error has occurred:
Handler method "handleAssignACIToDeleteButtonRequest" not implemented,
or has wrong method signature
Show Details
Hide Details
com.iplanet.jato.command.CommandException: Handler method
"handleAssignACIToDeleteButtonRequest" not implemented, or has wrong method signature
     com.iplanet.jato.view.command.DefaultRequestHandlingCommand.execute
(DefaultRequestHandlingCommand.java:167)
     com.iplanet.jato.view.RequestHandlingViewBase.handleRequest
(RequestHandlingViewBase.java:308)
     com.iplanet.jato.view.ViewBeanBase.dispatchInvocation(ViewBeanBase.java:802)

6653574

从 Directory Server 6.X 主机到 5.1 主机的复制不正常运行。

6658483

在繁体中文的 目录服务控制中心 中，后缀的“复制设置”选项卡中的字符串 "Initialize Suffix with Data..." 翻译模糊。

6660462

从 Directory Server Enterprise Edition 6.2 升级到 Directory Server Enterprise Edition 6.3 之前，必须手动停止 目录服务器 或 the 目录代理服务器 每个实例的 ntservice，但是 dsee_deploy 命令无法识别 Microsoft Windows 2000 平台上 目录服务器 或 目录代理服务器 的在运行实例。

在 Microsoft Windows 2000 的 zip 分发包上升级时， dsee_deploy 命令可能失效。 错误消息如下：

error: cannot delete old C:/local/upg6263/./dsee6/lib/bin/dsee_ntservice.exe

这表示 目录服务器 或 目录代理服务器 的实例仍在运行。要停止该单个或多个实例，在 Microsoft Windows 2000 中，选择开始 > 设置 > 控制面板，选择“管理工具”，然后选择“服务”。 对于在右栏显示的每项 目录服务器 或 目录代理服务器 服务，右键单击实例并选择“停止”。

6663685

在 目录服务控制中心 中，“复制后缀配置”操作可能产生错误的弹出窗口。

6687375

DSCC 无法在必要时检索其创建的代理证书。 DSCC 尝试将证书存储在 DSCC 注册表中的“代理-配置文件”中，但如果 DSCC 注册表的 ldap-port 被绑定到回送界面，则证书无法存储。然而，因为按设计 DSCC 可以读取 DSCC 注册表，因此必须使用 localhost 与 DSCC 注册表通信。

要解决此限制，请使用 ldapmodify 命令在 DSCC 注册表中创建 agent-profile。

6689290

尝试通过本地化 DSCC 停止/启动/重新启动服务器可能导致显示乱码形式的本地化消息。

解决方法是编辑 cacao.properties 文件并删除 -Dfile.encoding=utf-8 标志然后在首选的语言环境下重新启动 Cacao。

6696857

如果 &cnD*irectoryProxy; 实例仅通过 DSCC 启用了 secure-listen-socket/端口，且服务器证书不是默认证书（例如，certificate-Authority-signed 证书），则 DSCC 无法用于管理实例。

要解决此问题，请取消注册 DPS 实例，然后对其再次进行注册。另一解决方案是使用服务器证书更新 DSCC 注册表中 DSCC 实例的 userCertificate 信息。

6703850

在 Solaris 9 和 Solaris 10（SPARC 或 x86）上使用 Veritas 文件系统 (VxFS) 版本 4.1 和 5.0 时，Directory Server 5 和 Directory Server Enterprise Edition 6 的各版本可能出现性能问题。 性能问题位于 fdsync 系统调用内部并影响（例如）Directory Server 检查点。此问题通过 Solaris VMODSORT 功能解决。有关更多信息，请参考 http://sunsolve.sun.com/search/document.do?assetkey=1-66-201248-1。

通过 VMODSORT 功能使用 Veritas 文件系统时 Directory Server Enterprise Edition 6 可能出现性能问题 (CR 6703850)。在文件中的（例如，id2entry.db3）添加页面时产生此问题。此错误导致 ftruncate 系统调用占用的资源与使用无 VMODSORT 功能的 Veritas 文件系统时一样多。

6705472

密码策略通过字节数来衡量密码长度，因此包含多字节字符的密码，即使该密码包含的字符数少于策略的指定最低值，也能满足密码长度策略的要求。 例如，含有 1 个双字节字符的 7 字符密码满足密码最低长度设置为 8 的密码策略要求。

6707789

手册页中 modrate 命令的示例 1 含有使用错误。以下示例不正确：

modrate -D uid=hmiller,ou=people,dc=example,dc=com -w hillock -b "uid=test%d,ou=test,dc=example,dc=com" \ -C 3 -r 100 -M 'description:7:astring'

6712064

nsslapd-groupevalsizelimitis 属性未记录。以下描述适用于此属性。

名称

nsslapd-groupevalsizelimit- ACI 评估的静态组成员的最大数量

描述

定义静态组为 ACI 评估所能拥有的最大成员数（包括子小组成员）。

条目 DN

cn=config

有效范围

0 到最大 64 位整数值

-1 值表示无限大。

默认值

5000

语法

整型

示例

nsslapd-groupevalsizelimit: 5000

属性

有关以下属性的描述请参见属性 (5) 手册页：

属性类型	属性值
可用性	SUNWldap-directory
稳定性级别	过时：此发行版以后计划删除

6720595

在 UNIX 系统中，尝试使用 dsconf set-log-prop 或 DSCC 更改任何尚不存在日志文件的路径会失败。

6722534

minheap 的值在 《Sun Java System Directory Server Enterprise Edition 6.3 Man Page Reference》 中描述错误。minheap 的值是服务器在启动时使用的堆内存数量的两倍。

6723208

尝试编辑包含回车的属性值导致值损坏。

6723590

在版本 6.2 中由于可能存在数据库损坏但未被检测出，从 Directory Server Enterprise Edition 6.2 升级到 6.3.1 之前，通过将数据库导出到 LDIF 文件然后再重新导入 LDIF 文件，重建数据库。 在复制环境中，重建或重新初始化所有服务器。在 《Sun Java System Directory Server Enterprise Edition 6.3 管理指南》 中介绍了在复制环境中导出、导入和初始化服务器。

---

注 –

此项仅适用于从 Directory Server Enterprise Edition 6.2 升级的版本。不适用于从版本 6.0、6.1 或 6.3 升级的版本。

---

6725346

数据库名仅可包含 ASCII（7 位）字母数字字符、连字符 (-) 和下划线 (_)。Directory Server 不允许数据库名、文件名和路径名的字符串中包含多字节字符（例如，中文或日文字符集中的字符）。要解决此问题，在创建具有多字节字符的 Directory Server 后缀时，请指定不含多字节字符的数据库名。例如，在命令行中创建后缀时，明确设置 dsconf create-suffix 命令的 --db-name 选项。

$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN

请勿对后缀使用默认数据库名。请勿对数据库名使用多字节字符。

6742347

Directory Server Enterprise Edition 6 注册为服务时，在 Windows 关机期间不能正常停止。在系统重新启动时，错误日志文件中记录以下消息：

WARNING<20488> - Backend Database - conn=-1 op=-1 msgId=-1 - Detected Disorderly Shutdown last time Directory Server was running, recovering database.

要解决此问题，请在关机或重新引导之前手动停止目录服务。

要在 Microsoft Windows 中停止实例，选择开始 > 设置 > 控制面板，并选择“管理工具”然后选择“服务”。 对于在右栏显示的每项目录服务器服务，右键单击实例并选择“停止”。另外，也可运行此命令：

$ dsadm.exe stop instance-path

6750837

Microsoft Windows 中网络驱动器的规范是区分大小写的。因此，例如重新启动主帮助集后，在 DSEE 管理命令中同时使用 C:/ 和 c:/ 会导致复制失败。解决方法是，使用“DSEE_HOME/ds6/bin/dsconf accord-repl-agmt”更正复制协议。

6751354

Microsoft Windows 中网络驱动器的规范是区分大小写的。因此，例如在 DSEE 管理命令中同时使用 C:/ 和 c:/ 会产生各种错误消息，例如以下消息：

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install

要避免这些警告，请确保全部使用 C:/。

6752475

在 Windows 2000 上可以报告后端数据库错误。 此问题仅在 Microsoft Windows 上存在。发生错误时，在错误日志中记录以下错误消息：

ERROR<20742> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD MAP 1, err=5 ERROR<20741> - Backend Database - conn=-1 op=-1 msgId=-1 - BAD EV 1, err=5

此错误通常无害，但是当一个用户（管理员或任何其他用户）派生的实例与另外一个用户（一项 Windows 服务、管理员或任何其他用户）派生的实例相冲突时，偶尔会引起故障 (6798026)。

要在生产中解决此问题，所有实例必须注册为服务。

要在测试期间解决此问题，如果无实例作为 Windows 服务启动，则必须由同一用户启动新的实例。 如果有实例作为 Windows 服务启动，则唯一的解决方法是使用远程桌面连接 (rdesktop) 启动新的实例。

6752625

DSCC 中的联机帮助可能链接到未知网页。特别是，某些向导菜单可能建议以下内容：

For more information about data source configuration, see the "Sun Java System Directory Server Enterprise Edition Reference."

选择到 DSEE 引用文档的链接会产生错误消息。

要解决此问题，请使用第三个鼠标按钮选择链接，然后从弹出菜单中选择“在新窗口中打开链接”命令。选定的文档即会显示在新的浏览器窗口中。

6753020

在多主机复制配置中，从 Directory Server 6 各版本到 Directory Server 5.2 各主机（最多 4 台服务器）的复制正常运行。

6753742

在多主机复制配置中，从 JES 4 到 Directory Server 6.3 的主机迁移可能失败。例如，在执行 《Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide》中的“Migrating the Masters” 的第 6 步以后，可能出现以下错误消息：

INFORMATION - NSMMReplicationPlugin - conn=-1 op=-1 msgId=-1 - _replica_configure_ruv: failed to create replica ruv tombstone entry (suffix); LDAP error - 53

要解决此问题，请执行这些步骤：

1. 停止所有的 JES 4 主机：

2. 手动编辑 dse.ldif 配置文件并将 nsslapd-readonly: on 更改为 nsslapd-readonly: off。

3. 运行 dsmig migrate-config 迁移命令。

6755852

在 Cacao 中部署 JESMF 时在日语 Windows 上尝试安装 DSEE6.3 patchzip（以及更新版本）经常失败，显示类似于以下情形的结果：

Deploying JESMF in Cacao... ## Failed to run install-path/dsee6/cacao_2/bin/cacaoadm.bat deploy install-path/dsee6/mfwk/xml/com.sun.mfwk.xml #### #### Cannot execute command deploy: The connection has been closed by the server . #### ## Exit code is 1 Failed to register DS in JESMF. Error: Cannot register mfwk into cacao framework:

出现故障后执行以下步骤完成安装：

1. 将以下内容添加到 mfwk.properties 以便启动 Cacao。

   com.sun.mfwk.agent.objects=false

2. 运行以下命令以重新启动 Cacao。

   cacaoadm start

   确认 Cacao 在继续运行。

3. 运行以下 2 个命令：

   $ dsccsetup mfwk-unreg $ dsccsetup mfwk-reg -t

4. 运行以下命令确认 mfwk 在 Cacao 框架中正确注册。

   $ install-path/dsee6/cacao_2/bin/cacaoadm list-modules

   如果 mfwk 已正常注册，则命令返回下述结果：

   List of modules registered: com.sun.cacao.agent_logging 1.0 com.sun.cacao.command_stream_adaptor 1.0 com.sun.cacao.efd 2.1 com.sun.cacao.instrum 1.0 com.sun.cacao.invoker 1.0 com.sun.cacao.mib2simple 1.0 com.sun.cacao.rmi 1.0 com.sun.cacao.snmpv3_adaptor 1.0 com.sun.cmm.ds 1.0 com.sun.directory.nquick 1.0 com.sun.mfwk 2.0

5. 将以下 2 个文件复制到 install-path /dsee6/bin：

   installer-path\DSEE_ZIP_Distribution\dsee_deploy.exe installer-path\DSEE_ZIP_Distribution\dsee_data\listrunnings.exe

6756152/2168088

LDAP 命令在 Windows（支持 IPv6）上无法运行

6772760

在服务器启动后尝试立即停止服务器可能引起 DSEE 6 的各版本出现故障。

6772879

Directory Server Enterprise Edition 5.x 密码策略采用 password* 命名模式管理属性，Directory Server Enterprise Edition 6.x 密码策略采用 pwd* 命名模式管理属性。 在 Directory Server Enterprise Edition 兼容性模式中运行时（从而两种策略的属性均可管理），如果一种密码策略的功能被禁用，则相关属性的部分值可能在 5.x 属性和 6.x 属性之间不同。例如，如果 passwordUnlock 被设置为 off，那么 pwdLockoutDuration 的值可能为 0，同时 passwordLockoutDuration 的值为 <>0。

6776034

无法在 Solaris 9 的 CACAO 中注册 DSCC 代理。如果系统中缺少 SUNWxcu4 软件包，则命令 DSE _HOME/dscc6/bin/dsccsetup cacao-reg 会失败，并出现错误无法配置 Cacao。

6777338

从 Directory Server 5.2 到 Directory Server 6.3 的多主机复制迁移的情况下，《Sun Java System Directory Server Enterprise Edition 6.3 Migration Guide》中的“Manual Reset of Replication Credentials” 不完整。该过程指导您运行此命令：

dsconf set-server-prop -h host -p port def-repl-manager-pwd-file:filename

此外还需要运行未记录的下述命令：

dsconf set-repl-agmt-prop -p port_master1 replicated_suffix master2:port_master2 auth-pwd-file:filename

dsmig migrate-config 命令返回的命令必须予以启动以正确重置复制凭据。

6786078

不存在的 Sun Microsystems 插件可能被认为具有有效签名。显示以下警告消息：

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install.

此警告消息仅针对 Sun Microsystems 供应商的插件显示。

6790060

涉及 ACI 评估的未索引搜索返回很少条目，可能导致搜索性能太低。该问题仅适用于此发行版 DSEE6.3.1。

6791372

内存短缺的资源可能导致 Directory Server 6 的各版本出现故障。 以下错误消息被写入服务器 errorlog 文件：

ERROR<5122> - binder-based resource limits - conn=-1 op=-1 msgId=-1 - System error: resource shortage PR_NewRWLock() failed for reslimit

6827661

如果目录服务器实例是通过控制台或 dsadm start 命令从本地启动的，则不能使用 dsadm stop 命令通过远程桌面停止目录服务器实例。

要解决此问题，请运行以下命令启用服务：

dsadm enable-service --type WIN_SERVICE instance-path

6831959

由于受 Vulnerability Note VU#836068, MD5 vulnerable to collision attacks 中所描述问题的影响，Directory Server Enterprise Edition 应当避免在签名证书中使用 MD5 算法。

执行以下步骤确定证书的签名算法。

1. 运行以下命令，显示特定 目录服务器 实例中定义的证书列表。

   $ dsadm list-certs instance-path

2. 在每个被定义的证书上运行以下命令，确定证书是否采用 MD5 算法签名：

   $ dsadm show-cert instance-path cert-alias

   以下示例显示了 dsadm show-cert 命令针对 MD5 签名证书的典型输出：

   Certificate: Data: [...] Signature Algorithm: PKCS #1 MD5 With RSA Encryption [...]

运行以下命令从数据库删除任何 MD5 签名证书：

$ dsadm remove-cert instance-path cert-alias

执行以下步骤升级证书数据库密码。（dsadm 命令在创建目录服务器实例时生成默认证书数据库密码。）

1. 停止 目录服务器 实例。

2. 运行以下命令：

   $ dsadm set-flags instance-path cert-pwd-prompt=on

   显示消息，提示您输入密码。

3. 输入一个至少 8 个字符长的密码。

4. 重新启动 目录服务器 实例并在提示时提供 Internal (Software) Token。

使用 SHA-1 签名的证书替代任何 MD5 签名的证书。根据您的安装是否使用自签名证书，还是从证书授权机构获得的证书，执行以下过程之一。

执行以下步骤生成并储存一个自签名证书：

1. 作为 目录服务器 管理员，运行以下命令发布一个采用 SHA-1 签名算法的自签名证书。（有关 certutil 命令的更多信息，请参见 http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

   $ certutil -S -x -n certName -s subject -d certs-db-path \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   -S

   指定生成个人证书并将其添加到数据库。

   -x

   指定生成自签名证书

   -n certName

   指定证书的别名，例如 defaultCert

   -s "subject "

   指定新证书或证书请求的证书所有者，例如 CN=...,OU=...

   -d instance-path /alias

   指定包含证书和关键数据库文件的数据库目录。

   -P "slapd-"

   指定证书数据库前缀

   -t "CTu,u,u"

   指定信任参数

   -Z SHA1

   指定 SHA-1 作为证书签名算法

   以下示例显示了一次典型使用：

   $ install-path/dsee6/bin/certutil -S -x -n "A-New-Cert" \ -s "CN=myhostname,CN=8890,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -t "CTu,u,u" -Z SHA1

   该命令显示下述提示：

   [Password or Pin for "NSS Certificate DB"]

2. 输入您之前创建的新证书数据库密码。

执行以下步骤生成并储存从证书授权机构 (CA) 获得的证书：

1. 运行以下命令发布 CA 签名的服务器证书请求：

   $ certutil -R -s subject -d certs-db-path -P "slapd -a -Z SHA1 -o output-file

   -R

   指定生成 CA 签名的服务器证书请求

   -s "subject "

   指定新证书或证书请求的证书所有者，例如 CN=...,OU=...

   -d instance-path /alias

   指定包含证书和关键数据库文件的数据库目录。

   -P "slapd-"

   指定证书数据库前缀

   -a

   指定采用 ASCII 格式而不是默认的二进制格式创建证书请求

   -o output-file

   指定用于存储证书请求的输出文件

   以下示例显示了一次典型使用：

   $ install-path/dsee6/bin/certutil -R \ -s "CN=myhostname,CN=7601,CN=Directory Server,O=CompanyName" \ -d instance-path/alias \ -P "slapd-" -a -o /tmp/cert-req.txt

   该命令显示下述提示：

   [Password or Pin for "NSS Certificate DB"

2. 输入您之前创建的新证书数据库密码。

3. 确保您的证书授权机构不再使用 MD5 签名算法，然后将证书请求发送到证书授权机构（公司内部或外部，取决于您的规则）以获取 CA 签名的服务器证书，在 《Sun Java System Directory Server Enterprise Edition 6.3 管理指南》中的“请求 CA 签名的服务器证书” 中有介绍。

4. 当证书授权机构向您发送新证书时，请运行以下命令将证书添加到证书数据库：

   $ dsadm add-cert ds-instance-path cert-alias signed-cert-alias

   《Sun Java System Directory Server Enterprise Edition 6.3 管理指南》中的“添加 CA 签名的服务器证书和可信的 CA 证书” 中对此步骤有介绍。

5. 如果受信任的证书授权机构证书尚未存储在证书数据库中，请运行以下命令将其添加：

   $ dsadm add-cert --ca instance-path trusted-cert-alias

   《Sun Java System Directory Server Enterprise Edition 6.3 管理指南》中的“添加 CA 签名的服务器证书和可信的 CA 证书” 中对此步骤有介绍。

6. 运行以下命令验证新证书是否正在被使用。

   $ dsadm show-cert instance-path cert-alias Certificate: Data: [...] Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption [...]

6834291

当 pwd-must-change-enabled 属性被设置为 on 且用户帐户通过代理授权控制被调用时，能通过重置密码为用户执行的唯一操作是修改用户的帐户密码。

对于 Directory Server Enterprise Edition 6.3.1 以前的版本，此操作被作为 account unusable 拒绝（在 CR 6651645 中有介绍）。Directory Server Enterprise Edition 6.3.1 添加了支持，可使用代理授权更改重置密码，然而，将 6.3.1 修补程序应用到现有部署导致了以下问题。当帐户密码已被管理员重置时，使用代理授权在帐户上的操作未严格执行到修改 userpassword 属性。-

此问题的起因是 Directory Server 插件顺序的更改，在 6.3.1 修补程序应用期间未在任何现有的实例上予以更正。 升级到 Directory Server Enterprise Edition 6.3.1 以后创建的任何 Directory Server 实例都具有正确的插件顺序。

对于在升级到 Directory Server Enterprise Edition 6.3.1 之前创建的 Directory Server 实例，管理员必须使用 ldapmodify 命令更正实例的插件顺序列表。

以下示例假定尚未修改原始插件顺序。 如果部署使用的是自定义顺序，则请修改示例以包含自定义内容，但要确保在执行任何 PwP preoperation 之前要执行 ACL preoperation。

重新启动实例使更改生效。

$ install-path/dsrk6/bin/ldapmodify dn: cn=plugins, cn=config changetype:modify replace: plugin-order-preoperation-finish-entry-encode-result plugin-order-preoperation-finish-entry-encode-result: ACL preoperation,PwP preoperation - replace: plugin-order-preoperation-search plugin-order-preoperation-search: ACL preoperation,* - replace: plugin-order-preoperation-compare plugin-order-preoperation-compare: ACL preoperation,* - replace: plugin-order-preoperation-add plugin-order-preoperation-add: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-add plugin-order-internalpreoperation-add: PwP internalpreoperation,* - replace: plugin-order-preoperation-modify plugin-order-preoperation-modify: ACL preoperation,PwP preoperation,* - replace: plugin-order-internalpreoperation-modify plugin-order-internalpreoperation-modify: PwP internalpreoperation,* - replace: plugin-order-preoperation-modrdn plugin-order-preoperation-modrdn: ACL preoperation,* - replace: plugin-order-preoperation-delete plugin-order-preoperation-delete: ACL preoperation,* - replace: plugin-order-bepreoperation-add plugin-order-bepreoperation-add: PwP bepreoperation,* - replace: plugin-order-bepreoperation-modify plugin-order-bepreoperation-modify: PwP bepreoperation,*

6867762

当按照 rotation-time 或 rotation-interval 轮换日志时，轮换发生的准确时间取决于于若干变量，其中包括以下变量：

• rotation-time、rotation-interval 、rotation-now 和 rotation-size 属性的值

• 内务处理线程的调度

• 满足轮换条件时日志文件的有效大小

因此，被轮换日志文件中的 timestamp （例如，access.timestamp）得不到保证。

6872923

《Sun Java System Directory Server Enterprise Edition 6.3 管理指南》中的“设置首次登录密码策略” 所介绍的首次登录密码策略情景不完整。在运行示例之前，请确保在全局密码策略的默认条目 ("cn=Password Policy,cn=config") 的配置中， Password Must Change 属性被设置为 TRUE。

6876315

如果正在运行 dsmig 命令的用户没有目标 Directory Server 实例，则该命令会失败，因为其没有足够的权限来生成和访问迁移文件。

如果 dsmig 命令由拥有目标 Directory Server 且至少具有对源 Directory Server 的读取权限的用户运行，则该命令会成功运行。如果不符合这些条件，请通过导出数据库并将其导入至新的 Directory Server 来执行迁移。

6902940

当环境变量 PERL5LIB 被设置为预存在的 PERL 版本时，在 Windows 上配置 Cacao 可能失败。

要解决此问题，请同时编辑两个脚本文件。对于 Directory Server Enterprise Edition 的 ZIP 安装，请编辑下述两个文件：

• installPath/dsee6/cacao_2/configure.bat

• installpath/dsee6/cacao_2/bin/cacaoadm.bat

对于 Directory Server Enterprise Edition 的 Sun Java Enterprise System 5 安装，请编辑下述两个文件：

• C:\Program Files\Sun\JavaES5\share\cacao_2\configure.bat

• C:\Program Files\Sun\JavaES5\share\cacao_2\bin\cacaoadm.bat

编辑每个文件并将此行添加到每个文件的起始位置：

set PERL5LIB=

6920893

在 Windows 安装上，当多字节字符被指定为 SASL 绑定选项 authid 和 authzid 的值时，ldapsearch、 ldapmodify、ldapcompare 和 ldapdelete 命令失效。命令接收的是安装所使用的代码页面错误转换的字符，而不是接收的原始字符。

要阻止该转换并向命令提供原始字符，请使用以下代码页之一：

• 适用于 Windows 西欧的代码页 1252

• 适用于 Windows 日语的代码页 932 (Shift_JIS)

编程性解决方案是创建新程序以分支/执行命令（例如，ldapsearch）并通过该执行提供 SASL 绑定参数（从而无需代码页转换）。

6928378

《管理指南》错误表述用户可以使用 目录服务控制中心 设置引用使后缀成为只读。只有该后缀启用了复制才能在 目录服务控制中心 中实施此功能。