Bekannte Probleme mit Directory Server in 11g Version 1 (11.1.1)

In diesem Abschnitt werden die Probleme dargestellt, die zum Zeitpunkt der Veröffentlichung von Directory Server 11g Version 1 (11.1.1) bekannt waren.

4678334

Directory Server kann abstürzen, wenn der Server während eines Online-Exports, einer Sicherung, Wiederherstellung oder Indexerstellung angehalten wird.

4979319

Einige Directory Server-Fehlermeldungen beziehen sich auf das Handbuch für Datenbankfehler, das es nicht gibt. Wenn Sie die Bedeutung einer wichtigen Fehlermeldung nicht verstehen, die nicht dokumentiert ist, wenden Sie sich an den Oracle-Support.

6235452

Wenn die Einträge aus LDIF importiert werden, generiert Directory Server nicht die Attribute createTimeStamp und modifyTimeStamp.

Der LDIF-Import ist für hohe Geschwindigkeit optimiert. Der Importprozess generiert diese Attribute nicht. Zum Umgehen dieser Einschränkung fügen Sie die Einträge hinzu, statt sie zu importieren. Alternativ können Sie LDIF auch vorab verarbeiten, um die Attribute vor dem Import hinzuzufügen.

6245092

Der Directory Server bleibt hängen, wenn der Befehl stop-slapd ausgeführt wird.

6276634

Wenn eine Schemadefinition eines Attributs von "mehrwertig" zu "einwertig" geändert wird, sind Änderungen durch Ersetzen für dieses Attribut nicht zulässig.

Gehen Sie wie folgt vor, um mögliche Probleme nach dem Vornehmen einer solchen Änderung zu vermeiden:

1. Exportieren Sie die zusätzlichen Daten ohne Replikation (dsadm export -Q ...).

2. Importieren Sie die Daten erneut aus der daraus entstandenen LDIF-Datei.

   Beachten Sie, dass möglicherweise Einträge übersprungen werden, wenn der Eintrag nicht mehr kompatibel mit dem Schema ist.

3. Starten Sie die anderen Replikate in der Topologie neu.

6401484

Der Befehl dsconf accord-repl-agmt kann keine Authentifizierungseigenschaften der Replikationsvereinbarung ausrichten, wenn auf dem Zielsuffix die SSL-Clientauthentifizierung verwendet wird.

Zum Umgehen dieses Problems speichern Sie das Lieferantenzertifikat in der Konfiguration auf dem Verbraucher und befolgen Sie dazu diese Schritte. Die Beispielbefehle basieren auf zwei Instanzen auf dem gleichen Host.

1. Das Zertifikat in eine Datei exportieren.

   Im folgenden Beispiel wird dargestellt, wie Sie den Export für Server in /local/supplier und /local/consumer ausführen.

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt \ /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt \ /local/consumer defaultCert

2. Tauchen Sie die Client- und Lieferantenzertifikate aus.

   Im folgenden Beispiel wird dargestellt, wie Sie den Austausch für Server in /local/supplier und /local/consumer ausführen.

   $ dsadm add-cert --ca /local/consumer supplierCert \ /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert \ /tmp/consumer-cert.txt

3. Fügen Sie den SSL-Clienteintrag auf dem Verbraucher hinzu, einschließlich des supplierCert-Zertifikates auf einem usercertificate;binaryAttribut, mit dem richtigen subjectDN.

4. Fügen Sie den Replikations-Manager-DN auf dem Verbraucher hinzu.

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. Aktualisieren Sie die Regeln in /local/consumer/alias/certmap.conf.

6. Starten Sie beide Server erneut mit dem Befehl dsadm start.

6410741

Directory Service Control Center Werte als Zeichenfolgen sortieren. Wenn Sie daher in Directory Service Control Center Ziffern sortieren, werden die Ziffern wie Zeichenfolgen sortiert.

Eine aufsteigende Sortierung von 0, 20 und 100 ergibt die Liste 0, 100, 20. Eine absteigende Sortierung von 0, 20 und 100 ergibt die Liste 20, 100, 0.

6412131

Die Zertifikatnamen, die Multibyte-Zeichen enthalten, werden in der Ausgabe des Befehls dsadm show-cert instance-path valid-multibyte-cert-name als Punkte dargestellt.

6416407

Directory Server analysiert ACI-Ziel-DNs nicht korrekt, die lose stehende Anführungszeichen oder einzelne, lose stehende Kommas enthalten. Folgende Beispieländerungen führen zu Syntaxfehlern:

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

Beispiele mit mehr als einem Komma, das einzeln steht, wurden jedoch gelegentlich korrekt analysiert.

6446318

In Windows schlägt die SASL-Authentifizierung aufgrund der folgenden beiden Gründe fehl:

• SASL-Verschlüsselung wird verwendet.

  Zum Umgehen des Problems, das die SASL-Verschlüsselung verursacht, halten Sie den Server an, bearbeiten dse.klif und setzen SASL auf folgende Einstellung zurück.

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• Die Installation erfolgt mit Nativ-Paketen.

  Zum Umgehen des Problems, das von der Nativ-Paketinstallation verursacht wird, stellen Sie SASL_PATH auf install-dir\share\lib ein.

6449828

Directory Service Control Center zeigt die userCertificate-Binärwerte nicht richtig an.

6468074

Aus dem Konfigurationsattribut passwordRootdnMayBypassModsCheck geht nicht eindeutig hervor, dass alle Administratoren jetzt die Prüfung der Passwortsyntax umgehen können, wenn das Passwort eines anderen Benutzers beim Einstellen des Attributs geändert wird.

6469154

Die Ausgabe der Befehl dsadm und dpadm und die Hilfemeldungen sind unter Windows nicht ins Chinesische (traditionell) und Chinesische (vereinfach) lokalisiert.

6469296

Directory Service Control Center erlaubt Ihnen zwar das Kopieren der Konfiguration eines bestehenden Servers, jedoch nicht das Kopieren der Plugin-Konfiguration.

6469688

In Windows-Systemen ist der Befehl dsconf beim Importieren von LDIF mit Doppelbyte-Zeichen im LDIF-Dateinamen gelegentlich fehlgeschlagen.

Zum Umgehen dieses Problems ändern Sie den LDIF-Dateinamen, sodass er keine Doppelbyte-Zeichen mehr enthält.

6483290

Weder Directory Service Control Center noch der Befehl dsconf erlauben Ihnen zu konfigurieren, wie Directory Server ungültige Plugin-Signaturen verarbeitet. Im Standardverhalten werden die Plugin-Signaturen überprüft, jedoch müssen sie nicht gültig sein. Directory Server protokolliert eine Warnung vor ungültigen Signaturen.

Zum Ändern des Serververhalten passen Sie die Signatur ds-require-valid-plugin-signature und die ds-verify-valid-plugin-signature-Attribute auf cn=config an. Für beide Attribute wird on oder off akzeptiert.

6485560

Directory Service Control Center erlaubt Ihnen nicht, ein Suffix zu durchsuchen, das zum Rückgeben eines Verweises an ein anderes Suffix konfiguriert ist.

6488197

Nach der Installation und dem Erstellen einer Serverinstanz auf Windows-Systemen erlauben die Dateizugriffsberechtigungen für die Installation und den Ordner der Serverinstanz allen Benutzern den Zugriff.

Zum Umgehen dieses Problems ändern Sie die Berechtigung für die Installations- und Serverinstanzordner.

6488284

Auf der HP-UX-Plattform kann auf die Directory Server Enterprise Edition-Hilfeseiten für die folgenden Abschnitte nicht über die Befehlszeile zugegriffen werden:

• man5dpconf.

• man5dsat.

• man5dsconf.

• man5dsoc.

• man5dssd.

Ziehen Sie Oracle Fusion Middleware Man Page Reference for Oracle Directory Server Enterprise Edition zu Rate, um dieses Problem zu umgehen. An dieser Adresse können Sie eine PDF mit allen Directory Server Enterprise Edition-Hilfeseiten herunterladen.

6490557

Der Versuch, auf eine ungültige CoS-Vorlage zuzugreifen, hat einen Crash in Versionen von Directory Server 6 verursacht.

6490653

Wenn Sie den Verweismodus für Directory Server mithilfe von Directory Service Control Center über Internet Explorer 6 aktivieren, wird der Text im Fenster zum Bestätigen des Verweismodus abgeschnitten.

Zum Umgehen dieses Problems verwenden Sie einen anderen Browser, z. B. den Mozilla-Webbrowser.

6491849

Nach dem Upgrade der Replikate und dem Verschieben der Server auf neue Systeme, müssen Sie die Replikationsvereinbarungen für die Verwendung neuer Hostnamen neu erstellen. Directory Service Control Center lässt Sie die bestehenden Replikationsvereinbarungen löschen, erlaubt Ihnen jedoch nicht das Erstellen neuer Vereinbarungen.

6492894

Auf Red Hat-Systemen stellt der Befehl dsadm autostart nicht immer sicher, dass die Serverinstanzen zur Systemstartzeit starten.

6494997

Der Befehl dsconf fordert nicht zum Eingeben der entsprechenden dsSearchBaseDN-Einstellung auf, wenn DSML konfiguriert wird.

6495004

Auf Windows-Systemen ist der Start von Directory Server gelegentlich fehlgeschlagen, wenn der Name der Instanz ds ist.

6497894

Der Befehl dsconf help-properties ist darauf eingestellt, nur nach dem Erstellen einer Instanz einwandfrei zu funktionieren. Außerdem muss die korrekte Liste von Werten für den Befehl dsml-client-auth-mode client-cert-first | http-basic-only | client-cert-only sein.

6500936

In der Nativ-Patch-Bereitstellung ist der Miniaturkalender, mit dem Datumsangaben zum Filtern von Zugriffsprotokollen nicht korrekt in traditionellem Chinesisch lokalisiert.

6501320

Wenn ein Index auf dem benutzerdefinierten Schema erstellt wird, wird die Änderung der Suffixebene vonall-ids-threshold von DSCC nicht vollständig umgesetzt.

6503509

Einige Ausgaben der Befehle dsccmon, dsccreg, dsccsetup und dsccrepair sind nicht lokalisiert.

6503546

Wenn das Gebietsschema des Systems geändert und DSCC gestartet wird, wird die Popup-Meldung nicht im ausgewählten Gebietsschema angezeigt.

6504180

Auf Solaris 10 schlägt die Passwortüberprüfung für Instanzen mit Multibyte-Zeichen in ihren DN in englischen oder japanischen Gebietsschemas fehl.

6504549

Die Entdeckung einer Instanz von Directory Server durch das Java Enterprise System Monitoring Framework ist nicht erfolgreich, wenn der Prozess ns-slapd aus Entfernung mit rsh gestartet wurde.

6507312

Auf HP-UX-Systemen stürzen Anwendungen mit NSPR-Bibliotheken ab und erstellen einen Speicherabzug des Cores nach der Untersuchung mit gdb. Das Problem tritt auf, wenn Sie gdb an eine aktive Directory Server-Instanz anhängen und anschließend den Befehl gdb quit verwenden.

6520646

Wenn Sie auf Browse DSCC klicken, zeigt die Online-Hilfe die Online-Hilfe nicht an, wenn Sie Internet Explorer verwenden.

6527999

Die Directory Server-Plugin-API umfasst die Funktionen slapi_value_init() (), slapi_value_init_string()() und slapi_value_init_berval() ().

Alle diese Funktionen erfordern eine “Fertig“-Funktion, um interne Elemente freizugeben. In der öffentlichen API fehlt jedoch eine slapi_value_done() ()-Funktion.

6541040

Wenn Sie mithilfe von Directory Service Control Center die Passwortrichtlinie ändern, können noch nicht geänderte Attribute ohne Ihr Wissen zurückgesetzt werden.

Die Verwendung von Directory Service Control Center zum Verwalten der standardmäßigen Passwortrichtlinie verursacht keine Fehler. Durch die Verwendung von Directory Service Control Center zum Verwalten spezieller Passwortrichtlinien können jedoch unveränderte Attribute zurückgesetzt werden.

6542857

Wenn Sie die Service Management Facility (SMF) auf Solaris 10 verwenden, um eine Serverinstanz zu aktivieren, wird die Instanz unter Umständen nicht gestartet, wenn Sie das System neu starten. Es wird der folgende Fehler angezeigt:

svcadm: Instance "svc:/instance_path" is in maintenance state.

Erstellen Sie, um dieses Problem zu umgehen, als lokaler Benutzer einen Directory Server- und Directory Proxy Server-Server (wenn ein Benutzer lokal auf dem Computer definiert ist und nicht ein NIS-Benutzer.)

6547992

Auf HP-UX finden die Befehle dsadm und dpadm unter Umständen nicht die gemeinsam genutzte Bibliothek libicudata.sl.3.

Zum Umgehen dieses Problems legen Sie die Variable SHLIB_PATH fest.

env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm

6551685

Der Befehl dsadm autostart kann zu einem Fehlschlagen der Nativ-LDAP-Authentifizierung beim Neustart des Systems führen.

Zum Umgehen des Problems kehren Sie die Reihenfolge der Neustartskripte um. Die standardmäßige Reihenfolge ist /etc/rc2.d/S71ldap.client und /etc/rc2.d/S72dsee_directory .

6557480

Wenn Sie auf Solaris 9 und Windows über die Konsole, die mithilfe der Web Archive File (WAR) auf die Online-Hilfe zugreifen, wird ein Fehler angezeigt.

6559825

Wenn Sie die Anschlussnummer mit DSCC auf einem Server ändern, auf dem replizierte Suffixe vorliegen, entstehen Probleme, wenn die Replikationsvereinbarung zwischen Servern festgelegt wird.

6571038

Für Server, die in DSCC als Listener an allen Schnittstellen registriert sind (0.0.0.0), versuchen Sie, mit dsconf die Listen-Adresse der Serverergebnisse in den DSCC-Fehler zu ändern.

Verwenden Sie diese Problemumgehung, um für Directory Server Enterprise Edition lediglich einen SSL-Anschluss und eine sichere Listen-Adresse einzurichten:

1. Heben Sie die Registrierung des Servers in DSCC auf:

   dsccreg remove-server /local/myserver

2. Deaktivieren Sie den LDAP-Anschluss:

   dsconf set-server-prop ldap-port:disabled

3. Richten Sie eine sichere Listen-Adresse ein:

   $ dsconf set-server-prop secure-listen-address:IPaddress

   $ dsadm restart /local/myserver

4. Registrieren Sie den Server mit DSCC. Geben Sie im Assistenten zum Registrieren des Servers die IP-Adresse des Servers ein. Dieser Vorgang kann nicht rückgängig gemacht werden.

6587801

Directory Service Control Center und der Befehl dsadm in Version 6.1 oder höher zeigt nicht die eingebauten CA-Zertifikate von Directory Server-Instanzen an, die mit dem Befehl dsadm aus Version 6.0 erstellt wurden.

So umgehen Sie dieses Problem:

Fügen Sie das 64-Bit-Modul mit der 64-Bit-Version von modutil hinzu:

$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" \ -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db

6630897

Die Ausgabe des Befehls dsadm show-*-log l enthält nicht die richtigen Zeilen. Sie kann die letzten Zeilen des zuvor rotierten Protokolls enthalten.

6630924

Die Ausgabe des Befehls dsadm show-*-log ist nicht korrekt, wenn einige Zeilen im Protokoll mehr als 1024 Zeichen enthalten.

6637242

Nach dem Bereitstellen der WAR-Datei funktioniert die Schaltfläche View Topology nicht immer. Gelegentlich kann eine Java-Ausnahme auftreten, die auf org.apache.jsp.jsp.ReplicationTopology_jsp._jspService basiert.

6640755

In Windows zeigt der Befehl dsadm start im koreanischen Gebietsschema nicht das Fehlerprotokoll nsslapd an, wenn ns-slapd nicht gestartet werden kann.

6648240

Durch das Ändern oder Löschen eines Attributs in der Tabelle Zusätzliche Indizes in der Registerkarte Indizes in Directory Service Control Center veraltete Informationen angezeigt werden, bis der Browser aktualisiert wird.

6720595

Auf UNIX-Systemen schlägt der Versuch fehl, den Pfad einer Protokolldatei mit dsconf set-log-prop oder DSCC zu ändern, wenn der neue Pfad oder die Protokolldatei noch nicht existieren.

6750837

Beim Spezifizieren von Netzlaufwerken unter Microsoft Windows muss Groß- und Kleinschreibung beachtet werden. Aus diesem Grund kann beispielsweise die Verwendung von C:/ und c:/ in Verwaltungsbefehlen nach dem Neustart der Master ein Fehlschlagen der Replikation verursachen. Verwenden Sie zum Umgehen des Problems den Befehl dsconf accord-repl-agmt, um die Replikationsvereinbarung zu korrigieren.

6751354

Beim Spezifizieren von Netzlaufwerken unter Microsoft Windows muss Groß- und Kleinschreibung beachtet werden. Daher kann die gemeinsame Verwendung von beispielsweise C:/ und c:/ in DSEE-Verwaltungsbefehlen mehrere Fehlermeldungen erzeugen, z. B. die folgenden:

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install

Achten Sie darauf C:/ konsistent zu verwenden, um diese Warnungen zu vermeiden.

6752625

Die Onlinehilfe in DSCC kann Links zu unbekannten Webseiten anzeigen. Insbesondere können einige Menüs im Assistenten Folgendes anzeigen:

For more information about data source configuration, see the "Oracle Directory Server Enterprise Edition Reference."

Wenn Sie auf den Link zum Dokument Directory Server Enterprise Edition Referenz klicken, wird ein Fehler ausgelöst.

Zum Umgehen dieses Problems klicken Sie mit der dritten Maustaste auf den Link und klicken im Popup-Menü auf den Befehl Open Link in New Window. Das ausgewählte Dokument wird im neuen Browserfenster angezeigt.

6776034

Der DSCC-Agent kann in CACAO auf Solaris 9 nicht registriert werden. Wenn das SUNWxcu4-Paket im System fehlt, schlägt der Befehl DSEE_HOME/dscc6/bin/dsccsetup cacao-reg aufgrund des Fehlers Failed to configure Cacao fehl.

Zum Beheben dieses Problems installieren Sie auf Ihrem System das fehlende Paket SUNWxcu4.

6783994

Die Option -f funktioniert nicht mit dem Befehl ldapcompare .

6845087

Auf Windows zeigt CLI überflüssige Zeichen an.

6853393

DSCC unterstützt keine Hostsynonyme. Wenn das DSCC-Suffix repliziert wird, muss der Hostname in der Replikationsvereinbarung mit dem Hostnamen in der DSCC-Registrierung übereinstimmen.

6867762

Wenn Protokolle entsprechend der rotation-time oder des rotation-interval rotieren, hängt der tatsächliche Zeitpunkt der Rotation von verschiedenen Variablen ab, einschließlich der folgenden:

• von den Werten für die Eigenschaften rotation-time, rotation-interval , rotation-now und rotation-size

• vom Zeitplan des Systemverwaltungs-Threads

• von der tatsächlichen Größe der Protokolldatei, wenn die Rotationsbedingung erfüllt ist

Der Zeitstempel in der rotierten Protokolldatei (z. B. der access.-Zeitstempel) kann daher nicht garantiert werden.

6876315

Wenn der Benutzer, der den Befehl dsmig ausführt, kein Eigentümer der Zielverzeichnis-Serverinstanz ist, schlägt der Befehl fehl, da er über keine ausreichende Berechtigung verfügt, um migrierte Dateien zu generieren und auf sie zuzugreifen.

Der Befehl dsmig kann erfolgreich ausgeführt werden, wenn der entsprechende Benutzer Eigentümer des Ziel-Verzeichnisservers ist und mindestens über Lesezugriff auf den Quell-Verzeichnisserver verfügt. Wenn diese Bedingungen nicht erfüllt werden können, führen Sie die Migration durch Exportieren der Datenbank und ihren Import zum neuen Verzeichnisserver aus.

6885178

Die Online-Dokumentation für hosts_access gibt fälschlicherweise an, dass IPv6 auf Windows-Systemen nicht unterstützt wird.

6891486

Einige Debugmeldungen und Fehlernummer 20502, Serious failure during database checkpointing, err=2 (No such file or directory) werden gelegentlich kurz vor der Verarbeitung des Imports verarbeitet. Solche Meldungen können ignoriert werden, da sie sich auf alte Suffixdaten beziehen, die gelöscht werden.

6894136

Wenn Sie das Timeout bei Verbindungsleerlauf auf einer Serverinstanz auf einen sehr niedrigen Wert einstellen, beispielsweise 2s, kann DSCC Verbindungsfehler anzeigen und Vorgänge verhindern, deren Verarbeitung viel Zeit beansprucht (z. B. das Drehen von Protokollen). Achten Sie darauf, dass Sie das Timeout bei Verbindungsleerlauf auf mindestens 10s oder 20s einstellen und Sie das Timeout bei Verbindungsleerlauf entsprechend der Netzwerklatenz anpassen.

6953929

Gelegentlich stürzt der Server ab, wenn der Befehl dsadm show-access-log oder dsadm show-error-log während der Protokollrotation ausgeführt wird.

6955408

Auf Windows-Systemen wird durch den Befehl dsccsetup dismantle der Windows-Dienst CACAO nicht vollständig entfernt.

Workaround: Führen Sie nach dem Befehl dsccsetup dismantle den Befehl cacaoadm prepare-uninstall aus, bevor Sie Directory Server Enterprise Edition deinstallieren. Dadurch wird der Windows-Dienst CACAO entfernt.

6962704

Ein Nebeneffekt der neuen Konformität mit RFC 4511 ist, dass manche Suchvorgänge möglicherweise langsamer sind als mit älteren Versionen von Directory Server, wenn mehrwertige Attribute verwendet werden. Um dies zu verringern, setzen Sie entweder compat-flag auf no-rfc4511 oder geben Sie das Benutzer-Attribut im Schema als SINGLE-VALUE an.

6966010

Über den Befehl dsconf help-properties wird die Beschreibung der Eigenschaften für die Teilreplikation invertiert. Die nachfolgende Ausgabe:

repl-fractional-exclude-attr ... Replicate only the specified set of attributes repl-fractional-include-attr ... Do not replicate the specified set of attributes

sollte wie folgt aussehen:

repl-fractional-exclude-attr ... Do not replicate the specified set of attributes repl-fractional-include-attr ... Replicate only the specified set of attributes