Capítulo 5 Errores solucionados y problemas conocidos de Identity Synchronization para Windows

Este capítulo contiene información importante específica del producto, disponible en el momento del lanzamiento de Identity Synchronization para Windows.

Este capítulo incluye los siguientes apartados:

• Errores solucionados en Identity Synchronization para Windows

• Problemas conocidos y limitaciones de Identity Synchronization para Windows

Errores solucionados en Identity Synchronization para Windows

En esta sección, se muestran los errores solucionados desde la última versión de Directory Proxy Server.

6600668/6611925

El conector Directory Server no puede pasar al modo SYNCING si Identity Synchronization para Windows 6.0 está instalado en un sistema x86/AMD.

6557128

El complemento Identity Synchronization para Windows provoca que el host de Directory Server se bloquee cuando el complemento intenta registrar eventos con una conexión obsoleta.

6595244

El registro de depuración lanza un error al establecer un registro de depuración en el archivo WatchList.properties.

Problemas conocidos y limitaciones de Identity Synchronization para Windows

Esta sección muestra las limitaciones y los problemas conocidos en el momento del lanzamiento.

Limitaciones de Identity Synchronization para Windows

En esta sección, se muestran las limitaciones del producto. Las limitaciones no siempre se asocian a un número de solicitud de cambio.

Identity Synchronization para Windows necesita sun-sasl-2.19-4.i386.rpm para instalarse satisfactoriamente.

En Linux, antes de instalar Identity Synchronization para Windows, asegúrese de que el paquete sun-sasl-2.19-4.i386.rpm se haya instalado en el sistema. De lo contrario, la instalación Identity Synchronization para Windows podría fallar. Puede obtener el paquete SASL en los componentes compartidos de la distribución JES 5 o posterior.

No cambie manualmente los permisos de los archivos.

Los cambios efectuados en los permisos de los archivos instalados del producto Directory Server Enterprise Edition pueden impedir en algunos casos que el software funcione correctamente.

Para solucionar esta limitación, utilice un usuario con los permisos de usuario y grupo adecuados para instalar los productos.

No se realiza ninguna conmutación por error para el servicio central de Identity Synchronization para Windows.

Si libera el sistema en el que se han instalado los servicios centrales de Identity Synchronization para Windows, deberá instalarlo de nuevo. No se realiza ninguna conmutación por error para el servicio central de Identity Synchronization para Windows.

Utilice una copia de seguridad de ou=services (rama de configuración del DIT de Identity Synchronization para Windows) con el formato LDIF y emplee esta información al reinstalar Identity Synchronization para Windows.

Cambio en el comportamiento de la autenticación en Microsoft Windows 2003 SP1.

Al instalar Windows 2003 SP1, los usuarios tienen de forma predeterminada 1 hora para acceder a sus cuentas con sus antiguas contraseñas.

Por lo tanto, si los usuarios cambian sus contraseñas en Active Directory, el atributo de sincronización a petición dspswvalidate se establece en "true" (verdadero) y la contraseña antigua puede utilizarse para la autenticación en Directory Server. La contraseña sincronizada en Directory Server es, por lo tanto, la anterior, la contraseña antigua, en lugar de la contraseña actual de Active Directory.

Consulte la documentación de soporte técnico de Microsoft Windows para obtener información sobre cómo desactivar esta función.

Elimine serverroot.conf antes de eliminar Administration Server

Para desinstalar Administration Server, elimine /etc/mps/admin/v5.2/shared/config/serverroot.conf antes de eliminar el paquete de Administration Server.

Mencione la ruta de admin jars en CLASSPATH

CLASSPATH debe contener la ubicación de admin jars, de lo contrario aparecerá un error noClassDefFound durante la resincronización.

Recuperación de datos cuando falla el sistema o la aplicación

Después de un fallo de hardware o aplicación, debe restablecer los datos a partir de una copia de seguridad en algunas de las fuentes de directorios sincronizadas.

Sin embargo, después de realizar la recuperación de datos, debe llevar a cabo un procedimiento adicional para garantizar que la sincronización pueda continuar con normalidad.

Los conectores conservan normalmente la información acerca del último cambio que se propagó en la cola de mensajes.

Esta información, denominada estado del conector, se utiliza para determinar el cambio siguiente que debe leer el conector desde su fuente de directorio. Si la base de datos de una fuente de directorio sincronizada se restablece a partir de una copia de seguridad, es posible que el estado del conector ya no sea válido.

Los conectores basados en Windows de Active Directory y Windows NT mantienen también una base de datos interna. Esta base de datos es una copia de la fuente de directorio sincronizada, que se utiliza para determinar los cambios efectuados en la fuente de datos conectada. La base de datos interna deja de ser válida una vez restablecida la fuente de Windows conectada a partir de una copia de seguridad.

Por lo general, el comando idsync resync puede utilizarse para rellenar la fuente de datos recuperada.

No se puede utilizar la resincronización para sincronizar las contraseñas con una excepción: la opción -i ALL_USERS puede utilizarse para anular las contraseñas en Directory Server. Esta operación funciona si la fuente de datos de la sincronización es Windows. Además, la lista de SUL sólo debe incluir los sistemas Active Directory.

No obstante, es posible que el uso del comando idsync resync no sea una opción aceptable en todas las situaciones.

Antes de realizar cualquiera de los pasos siguientes, asegúrese de que se haya detenido la sincronización.

Sincronización bidireccional

Utilice el comando idsync resync con la configuración adecuada del modificador en función de la configuración de sincronización. Utilice la fuente de directorio recuperada como destino de la operación de resync.

Sincronización unidireccional

Si la fuente de datos recuperada es el destino de la sincronización, puede seguirse el mismo procedimiento utilizado para la sincronización bidireccional.

Si la fuente de datos recuperada es el origen de la sincronización, puede utilizar idsync resync para rellenar la fuente de directorio recuperada. Debe cambiar la configuración de flujo de sincronización en la configuración de Identity Synchronization para Windows. El comando idsync resync permite configurar el flujo de sincronización de forma independiente de los flujos configurados con la opción -o Windows|Sun.

Tenga en cuenta la siguiente situación de ejemplo.

Se ha configurado la sincronización bidireccional entre Directory Server y Active Directory.

• La base de datos del servidor de Microsoft Active Directory debe recuperarse a partir de una copia de seguridad.

• En Identity Synchronization para Windows, esta fuente de Active Directory se ha configurado para AD de SUL.

• Se ha configurado la sincronización bidireccional para la modificación, creación y eliminación entre esta fuente de Active Directory y una fuente de Sun Directory Server.

Para realizar la sincronización unidireccional

1. Detenga la sincronización.

   idsync stopsync -w - -q -

2. Vuelva a sincronizar la fuente de Active Directory. Vuelva a sincronizar también las operaciones de modificación, creación y eliminación.

   idsync resync -c -x -o Sun -l AD -w - -q -

3. Reinicie la sincronización.

   idsync startsync -w - -q -

Procedimientos de recuperación específicos de la fuente de directorio

Los siguientes procedimientos hacen referencias a fuentes de directorios específicas.

Microsoft Active Directory

Si Active Directory se puede restablecer a partir de una copia de seguridad, siga los procedimientos descritos en las secciones que tratan sobre la sincronización bidireccional o unidireccional.

Sin embargo, debe utilizar un controlador de dominio diferente después de producirse un error crítico. En ese caso, siga estos pasos para actualizar la configuración del conector de Active Directory.

Para cambiar el controlador de dominio

1. Inicie la consola de administración de Identity Synchronization para Windows.

2. Seleccione la ficha Configuración. Expanda el nodo de las fuentes de directorios.

3. Seleccione la fuente de Active Directory adecuada.

4. Haga clic en Editar controlador y seleccione el nuevo controlador de dominio.

   Convierta el controlador de dominio seleccionado en el propietario del rol NT PDC FSMO del dominio.

5. Guarde la configuración.

6. Detenga el servicio de Identity Synchronization en el host en el que se esté ejecutando el conector de Active Directory.

7. Elimine todos los archivos, excepto los directorios ubicados en ServerRoot/isw-hostname/persist/ADPxxx. En esta ubicación, xxx es la parte numérica del identificador del conector de Active Directory.

   Por ejemplo, 100 si el identificador del conector de Active Directory es CNN100.

8. Inicie el servicio de Identity Synchronization en el host en el que se esté ejecutando el conector de Active Directory.

9. Siga los pasos en función del flujo de sincronización que se describe en las secciones de sincronización bidireccional o unidireccional.

Conmutación por error y Directory Server

Tanto la base de datos de registro de cambios retroactivos como la base de datos con los usuarios sincronizados pueden verse afectadas por un error crítico.

Para administrar la conmutación por error de Directory Server

1. Base de datos del registro de cambios retroactivos.

   Los cambios que el conector de Directory Server no pudo procesar pueden haberse producido en la base de datos de registro de cambios retroactivos. El restablecimiento de la base de datos de registro de cambios retroactivos sólo debe realizarse si la copia de seguridad contiene cambios no procesados. Compare la entrada más reciente del archivo ServerRoot/isw-hostname/persist/ADPxxx/accessor.state con el último número de cambios de la copia de seguridad. Si el valor de accessor.state es superior o igual al número de cambios de la copia de seguridad, no restablezca la base de datos. En su lugar, vuelva a crearla.

   Una vez que se haya creado de nuevo la base de datos de registro de cambios retroactivos, asegúrese de ejecutar idsync prepds. También puede hacer clic en la ventana Preparar Directory Server desde la fuente de directorio de Sun en la consola de administración de Identity Synchronization para Windows.

   El conector de Directory Server detecta que se ha vuelto a crear la base de datos de registro de cambios retroactivos y registra un mensaje de advertencia. Puede omitir con seguridad este mensaje.

2. Base de datos sincronizada

   Si no hay ninguna copia de seguridad disponible para la base de datos sincronizada, debe reinstalarse el conector de Directory Server.

   Si, por el contrario, se puede restablecer la base de datos sincronizada a partir de una copia de seguridad, siga los procedimientos descritos en las secciones de sincronización bidireccional o unidireccional.

Problemas conocidos de Identity Synchronization para Windows

En esta sección, se muestran los problemas conocidos. Los problemas conocidos aparecen asociados a un número de solicitud de cambio.

6388815

Los conectores de Active Directory y Directory Server se bloquean cuando se intentan sincronizar los grupos anidados, ya que actualmente no se admite este tipo de sincronización.

6594767

En los equipos que ejecutan Microsoft Windows con un controlador de dominio instalado, la autenticación falla al crear un nuevo servidor o registrar un servidor existente con la consola web. Para solucionar este problema, especifique el Id. de usuario con el nombre de dominio para el controlador de dominio.

4997513

En los sistemas Windows 2003, el indicador que señala que el usuario debe cambiar su contraseña en el próximo inicio de sesión se establece de forma predeterminada. En los sistemas Windows 2000, este indicador no se establece de forma predeterminada.

Al crear usuarios en los sistemas Windows 2000 y 2003 con el indicador user must change pw at next login establecido, los usuarios se crearán en Directory Server sin ninguna contraseña. La próxima vez que los usuarios inicien una sesión en Active Directory, los usuarios deberán cambiar sus contraseñas. Esta cambio anula sus contraseñas en Directory Server. Además, también fuerza la sincronización a petición la próxima vez que esos usuarios se autentiquen en Directory Server.

Hasta que los usuarios no cambien sus contraseñas en Active Directory, éstos no podrán autenticarse en Directory Server.

5077227

Se pueden producir problemas al intentar ver la consola de Identity Synchronization para Windows mediante PC Anywhere 10 con Remote Administration 2.1. Se ha comprobado que la versión 9.2 de PC Anywhere no provoca errores. Si el problema persiste, elimine el software de administración remota. También puede utilizarse VNC. Se ha comprobado que VNC no provoca ningún problema al mostrar la consola de Identity Synchronization para Windows.

5097751

Si instala Identity Synchronization para Windows en un sistema Windows con el formato FAT 32, no habrá ninguna ACL disponible. Además, no se aplicará ninguna restricción de acceso para la configuración. Para garantizar la seguridad, utilice sólo el sistema NTFS de Windows para instalar Identity Synchronization para Windows.

6254516

Si se ha configurado el complemento de Directory Server en los consumidores con la línea de comandos, éste no creará un nuevo Id. de subcomponente para los consumidores. La configuración del complemento no crea nuevos Id. para los consumidores.

6288169

El complemento de sincronización de contraseñas de Identity Synchronization para Windows intenta establecer un enlace con Active Directory para detectar las cuentas que aún no se han sincronizado, incluso antes de comprobar accountlock y passwordRetryCount.

Para solucionar este problema, aplique una directiva de contraseñas en el servidor LDAP. Además, configure Access Manager para utilizar el siguiente filtro en la búsqueda de usuarios:

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

No obstante, esta solución genera un mensaje de error de usuario no encontrado cuando se llevan a cabo demasiados intentos de inicio de sesión a través de LDAP. Esta solución no bloquea la cuenta de Active Directory.

6331956

La consola Identity Synchronization para Windows no se puede iniciar cuando se ha repetido o=NetscapeRoot.

6332197

Identity Synchronization para Windows genera errores cuando los grupos con información de usuarios que aún no se han creado se sincronizan en Directory Server.

6336471

El complemento de Identity Synchronization para Windows no puede realizar una búsqueda mediante sufijos encadenados. Por lo tanto, no se pueden realizar las operaciones de modificación y enlace en la instancia de Directory Server.

6337018

Identity Synchronization para Windows debería admitir la exportación de la configuración de Identity Synchronization para Windows a un archivo XML.

6386664

Identity Synchronization para Windows sincroniza la información de usuarios y grupos entre Active Directory y Directory Server si se ha habilitado la función de sincronización de grupos. La sincronización debería realizarse en teoría sólo después de emitir el comando resync en la línea de comandos.

6452425

Si instala Identity Synchronization para Windows en un sistema Solaris en el que se haya instalado la versión 3.11.0 del paquete SUNWtls, es posible que no se inicie Administration Server. Para solucionar este problema, desinstale el paquete SUNWtls antes de instalar Identity Synchronization para Windows.

6251334

La sincronización de eliminación de usuarios no se puede detener, incluso después de cambiar la fuente de Active Directory. Por lo tanto, la sincronización de eliminación continúa una vez asignada la lista de usuarios sincronizados a una unidad organizativa, OU, diferente en la misma fuente de Active Directory . Parecerá que se ha eliminado el usuario en la instancia de Directory Server. El usuario aparece como eliminado, incluso aunque se haya eliminado de la fuente de Active Directory, que no tiene una asignación de SUL.

6335193

Puede intentar ejecutar el comando de resincronización para sincronizar los usuarios entre Directory Server y Active Directory. La creación de la entidad de grupo falla si los usuarios no sincronizados se agregan a un grupo no sincronizado.

Para solucionar este problema, debe ejecutar el comando resync dos veces para que la sincronización se realice correctamente.

6339444

Puede especificar el ámbito de la sincronización con la lista de usuarios de sincronización mediante el botón Examinar del panel DN de base. Si se especifica el ámbito, no se recuperarán los subsufijos.

Con el fin de solucionar este problema, agregue las ACI para permitir el acceso anónimo para las operaciones de lectura y búsqueda.

6379804

Durante la actualización de componentes centrales de Identity Synchronization para Windows a la versión 1.1 SP1 en los sistemas Windows, el archivo updateCore.bat contiene una referencia incorrecta preprogramada a Administration Server. Debido a esto, el proceso de actualización no se completa satisfactoriamente.

Para solucionar este problema, sustituya las dos instancias de las referencias a Administration Server en la secuencia de comandos de actualización.

Sustituya las siguientes instrucciones en las líneas 51 y 95 de la secuencia de comandos de actualización. Cambie las líneas de la siguiente forma.

net stop "Sun Java(TM) System Administration Server 5.2"

En su lugar, las líneas deberían ser las siguientes:

net stop admin52-serv

Después de realizar los cambios especificados, vuelva a ejecutar la secuencia de comandos de actualización.

6388872

En las expresiones de creación de Windows entre Directory Server y Active Directory, el flujo cn=%cn% funciona tanto para usuarios como grupos. Para cualquier otra combinación, Identity Synchronization para Windows muestra errores durante la sincronización.

6332183

Es posible que Identity Synchronization para Windows registre excepciones que indiquen que un usuario ya existe si el flujo de acciones de adición de Directory Server a Active Directory tiene lugar antes de que pueda hacerlo el flujo de eliminación. Puede producirse una condición de competencia si la operación de adición se realiza antes que la de eliminación durante la sincronización, lo que provocaría que Active Directory registrase una excepción.

Por ejemplo, si se agrega un usuario, dn: user1, ou=isw_data, a un grupo existente, dn: DSGroup1,ou=isw_data, cuando el usuario se elimine del grupo, se modificará la condición uniquemember del grupo. Si se agrega el mismo usuario a un grupo que tenga el mismo DN (para userdn: user1, ou=isw_data), se realizará una operación de adición. En este momento, es posible que Identity Synchronization para Windows registre excepciones que indiquen que el usuario ya existe.

6444341

No se ha traducido el programa de desinstalación de Identity Synchronization para Windows. Los archivos WPSyncResources_X.properties no se pueden instalar en el directorio /opt/sun/isw/locale/resources.

Para solucionar este problema, copie manualmente los archivos WPSyncResources_X.properties que faltan en el directorio installer/locale/resources.

6444878

Instale y configure Java Development Kit versión 1.5.0_06 antes de ejecutar Administration Server.

6444896

Si, al realizar una instalación basada en texto de Identity Synchronization para Windows, se deja la contraseña de administrador vacía y se pulsa Intro, se cerrará el programa de instalación.

6452538

En las plataformas Windows, es necesario que la aplicación Message Queue 3.5 utilizada por Identity Synchronization para Windows presente un valor de PATH con una longitud inferior a 1 kilobyte. Los valores más largos quedarán truncados.

6486505

En Windows, Identity Synchronization para Windows sólo admite las configuraciones regionales inglesa y japonesa.

6477567

En Directory Server Enterprise Edition 6.3, el complemento de Directory Server para Identity Synchronization para Windows se instala junto con la instalación de Directory Server. El programa de instalación de Identity Synchronization para Windows no instala el complemento de Directory Server. En su lugar, Identity Synchronization para Windows sólo lo configura.

En esta versión de Identity Synchronization para Windows, el programa de instalación basado en texto no le solicita que configure el complemento de Directory Server para Identity Synchronization para Windows durante el proceso de instalación. Para solucionar este problema, ejecute el comando Idsync dspluginconfig en la ventana de terminal una vez completada la instalación de Identity Synchronization para Windows.

6472296

Después de realizar la instalación con la configuración regional japonesa en los sistemas Windows, las interfaces de usuario de Identity Synchronization para Windows no se muestran totalmente traducidas.

Para solucionar este problema, incluya el archivo unzip.exe en la variable de entorno PATH antes de iniciar la instalación.

6485333

Los programas de instalación y desinstalación de los sistemas Windows no se han internacionalizado.

6492125

El contenido de la ayuda en línea de Identity Synchronization para Windows muestra recuadros en lugar de caracteres multibyte para las configuraciones regionales CCK.

6501874

Se producen errores en la sincronización de bloqueo de cuenta de Directory Server a Active Directory cuando el modo de compatibilidad de contraseña de Directory Server, pwd-compat-mode, se ha establecido en DS6-migration-mode o DS6-mode.

6501886

Se ha detectado que la consola de Identity Synchronization para Windows muestra un mensaje de advertencia al cambiar la contraseña del administrador de dominio de Active Directory. El mensaje de advertencia, Invalid credentials for Host-hostname .domainnname, se muestra, aunque la contraseña utilizada sea válida.

6529349

En Solaris SPARC, es posible que no se instale Identity Synchronization para Windows debido a la ausencia del archivo /usr/share/lib/mps//jss4.jar. Este problema se produce sólo durante la instalación del producto cuando el programa de instalación detecta la instancia del paquete SUNWjss instalada anteriormente y no la actualiza.

Para solucionar este problema, al instalar el producto, agregue /usr/share/lib/mps/secv1/jss4.jar a la ruta de clases de Java.

$JAVA_EXEC -Djava.library.path=./lib \ -classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\ ${SUNWjss}/usr/share/lib/mps/jss4.jar:\ ${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\ ./lib/ldap.jar:./lib/webstart.jar:\ ${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\ ./resources:./locale/resources:./lib/common.jar:\ ./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \ -Djava.util.logging.config.file=./resources/Log.properties \ -Djava.util.logging.config.file=../resources/Log.properties \ -Dcom.sun.directory.wps.logging.redirectStderr=false \ -Dcom.sun.directory.wps.logging.redirectStdout=false \ uninstall_ISW_Installer $1

6572575

Para que la sincronización de grupos funcione satisfactoriamente durante la operación resync, el usuario y el grupo deben residir en el mismo nivel que el ámbito de la sincronización. De lo contrario, se mostrará un error.