上一页      目录      索引      文档主页      下一页     
iPlanet Directory Server 5.1 管理员指南



第 8 章   管理复制


复制是一种拓展目录服务,从而使之超过单服务器配置限制的重要机制。本章介绍为设置单原版复制、多原版复制和级联复制而在供给服务器和客户服务器上执行的任务。本章包含下列主题:

有关如何在目录部署中使用复制的概念性信息,请参阅 iPlanet Directory Server 部署指南



复制概述


复制就是在 iPlanet Directory Server 之间自动复制目录数据的机制。任何类型的更新 — 条目添加、修改甚至删除 — 都将被自动镜像到其它使用复制的 iPlanet Directory Server 上。本部分包含有关下列复制概念的信息:


副本

我们将参与复制过程的数据库定义为副本。有几种类型的副本:

  • 原版副本:包含原版目录数据的读写数据库。原版副本可处理从目录客户机发出的更新请求。

  • 客户副本:包含原版副本所含信息副本的只读数据库。客户副本可处理来自目录客户机的搜索请求,但将更新请求引荐到原版副本。

  • 中枢副本:类似于客户副本的只读数据库。区别在于,该数据库存储的信息供同时充当复制信息的客户服务器和供给服务器(中枢)的 iPlanet Directory Server 使用。

您可以将 iPlanet Directory Server 配置为管理几个数据库。每个数据库可以充当不同的复制角色。例如,您可以使 iPlanet Directory Server 将 dc=engineering,dc=siroe,dc=com 后缀存储在原版副本中,而将 dc=sales,dc=siroe,dc=com 后缀存储在客户副本中。


供给器/客户

管理原版副本并将其复制到其他服务器的服务器叫作供给服务器原版服务器。管理由其他服务器更新的客户副本的服务器叫作客户服务器

尽管由于服务器可以同时充当供给器和客户这一功能使得将服务器角色分别称作供给器和客户欠缺准确,但它仍不失为一个方便的方法。在下列情况下使用这种称呼很方便:

  • 当 iPlanet Directory Server 管理原版副本和客户副本组合时;

  • 当 iPlanet Directory Server 用作中枢供给器时,也就是它从原版服务器接收更新,然后将更改复制到客户服务器。有关详细信息,请参阅“级联复制”

  • 在多原版复制中,当原版副本位于两个不同的 iPlanet Directory Server 上时:每个 iPlanet Directory Server 同时充当另一个 iPlanet Directory Server 的供给服务器和客户服务器。有关详细信息,请参阅“多原版复制”

在 iPlanet Directory Server 5.1 中,复制始终由供给服务器启动,而非由客户服务器启动。该操作称为供给器启动的复制。它允许对供给服务器进行配置,从而将数据推送到一个或多个客户服务器。

iPlanet Directory Server 的早期版本允许使用客户启动的复制,从中可以配置客户服务器,以便从供给服务器中获取数据。在 iPlanet Directory Server 5.1 中,这种方法已被客户服务器提示供给器发送更新的过程取代。有关该功能的详细信息,请参阅“保持副本同步”


更改日志

每个供给服务器都维护一份更改日志。更改日志是描述原版副本修改内容的记录。供给服务器随即会将这些修改内容在存储于客户服务器的副本上进行重现。在多原版复制的情况下,则在其它原版上进行重现。

修改条目后,描述所执行的 LDAP 操作的更改记录将被记录到更改日志中。

可以用与常规的 LDBM 数据库相同的方法来配置更改日志。

在 iPlanet Directory Server 5.0 中,更改日志的格式已有所改变。在更早版本的 iPlanet Directory Server 中,更改日志可通过 LDAP 访问。但是现在,该功能仅面向服务器内部使用。如果有的应用程序需要阅读更改日志,则可使用回退更改日志插件以实现向后兼容。有关详细信息,请参阅“使用回退更改日志插件”


复制单位

在 iPlanet Directory Server 5.1 中,复制的最小单位是数据库。这就意味着您可以复制整个数据库,但不能复制数据库内的子树。因此,当创建目录树时,必须考虑复制计划。有关如何设置目录树的详细信息,请参阅 iPlanet Directory Server 部署指南

复制机制还要求一个数据库对应一个后缀。这就是说,无法使用自定义分布逻辑复制在两个或多个数据库上分布的后缀(或名称空间)。有关该主题的详细信息,请参阅第 83 页上的“创建和维护数据库”


复制标识

当在两个服务器之间进行复制操作的情况下,客户服务器在供给服务器绑定以便发送复制更新时对其进行验证。该验证过程要求供给服务器用来绑定到客户服务器的条目需存储在客户服务器上。该条目称为复制管理器条目,或供给器绑定 DN。

复制管理器条目或创建用于执行该角色的任何条目都必须满足以下条件:

  • 在管理客户副本(或中枢副本)的每台服务器上都必须至少有一个条目。

  • 由于安全原因,该条目不得为所复制的数据库的组成部分。


    注意 该条目有一个忽略客户服务器上所定义的所有访问控制规则的特殊用户配置文件。


在两个服务器之间配置复制时,必须在两个服务器上都标识复制管理器(供给器绑定 DN):

  • 在客户服务器或中枢供给器上配置客户副本或中枢副本时,必须指定一个或多个供给器绑定 DN,并且这些 DN 与授权执行复制更新的条目对应。

  • 在供给服务器上,当配置复制协议时,必须指定该条目的 DN。


    注意 在 iPlanet Directory Server Console 中,这个复制管理器条目被称为供给器绑定 DN,这可能会带来某些误导,因为该条目并不位于供给服务器上。该条目之所以被称为供给器绑定 DN 是因为它必须出现在客户服务器上,这样它可以在供给器绑定时对其进行验证,从而向客户服务器提供复制更新。


有关创建复制管理器条目的详细信息,请参阅 “创建供给器绑定 DN 条目”


复制协议

iPlanet Directory Server 使用复制协议来定义复制配置。复制协议描述仅在一个供给器和一个客户之间进行的复制。该协议在供给服务器中配置。它指定:

  • 所要复制的数据库

  • 要将数据发送到的客户服务器

  • 复制发生的时间

  • 供给服务器必须用于绑定的 DN 和凭证(称为复制管理器条目或供给器绑定 DN)

  • 确保连接安全的方式(SSL、客户机验证)


与 iPlanet Directory Server 早期版本的兼容性

iPlanet Directory Server 5.0 和 5.1 中的复制机制不同于 iPlanet Directory Server 早期版本中所用的机制。兼容性的实现方式:

  • 旧复制插件

  • 回退更改日志插件

旧复制插件使 iPlanet Directory Server 5.1 在客户角色中充当 4.x 目录服务器。有关如何使用该插件执行旧复制任务的信息,请参阅“早期版本的复制”

当希望 iPlanet Directory Server 5.1 供给器维护 4.x 类型的更改日志时,可以使用回退更改日志插件。对于依赖 iPlanet Directory Server 4.x 更改日志格式的应用程序(比如 iPlanet Meta Directory)而言,有时则是必须的,因为它们从更改日志中读取信息。有关回退更改日志插件的详细信息,请参阅“使用回退更改日志插件”



复制环境


本部分介绍最常用的复制环境:

可以对这些基本环境进行组合,从而建立最适合自己需要的复制环境。


注意 无论选择实现何种复制环境,都应考虑模式复制。有关详细信息,请参阅 iPlanet Directory Server 部署指南



单原版复制

在最简单的复制环境中,原版的目录数据将保存在一台服务器(称为供给服务器)的单个原版副本上。该服务器向储存在客户服务器上的客户副本提供更新。

供给服务器维护记录对原版副本的所有更改的更改日志。供给服务器还储存复制协议。

客户服务器储存与供给器绑定 DN 对应的条目,这样它可以在供给器绑定以发送复制更新时对其进行验证。

图 8-1   

单原版复制

图 8-1 说明的示例中, ou=people,dc=siroe,dc=com 后缀接收大量来自客户机的搜索和更新请求。因此,为分担负荷,原版位于服务器 A 上的后缀将被复制到位于服务器 B 的客户副本中。

服务器 B 可以处理和响应来自客户机的搜索请求,但无法处理修改目录条目的请求。服务器 B 通过向客户机返回到服务器 A 的引荐,处理从客户机接收的修改请求。


注意 在复制中,客户服务器储存关于供给服务器的引荐信息,但不把来自客户机的修改请求转发给供给服务器。客户机必须遵循客户服务器返回的引荐。


有关设置单原版复制环境的信息,请参阅“配置单原版复制”


多原版复制

iPlanet Directory Server 5.1 也支持复杂的复制环境,其中同一信息的原版可位于两台服务器上。该子树被保持在每台服务器的读写副本上。这就是说,每台服务器都会维护副本的更改日志。

此类配置可与任意数量的客户服务器一起协同工作。客户服务器可以接收来自两个供给器的更新。客户服务器还为这两个供给器定义引荐。这样的环境称为多原版配置。

图 8-2 显示了多原版复制环境的一个示例。有关需要为多原版复制设置的复制协议、更改日志和供给器绑定 DN 的详细视图,请参阅图 8-3

图 8-2   

多原版复制

多原版配置具有以下优势:

  • 当一个供给器不可访问时,系统就会自动进行写入故障切换

  • 在按地理位置分布的环境中,更新将在本地供给器上进行


    注意 复制,特别是多原版复制,在高速链路上比在低速链路(例如在按地理位置分布的环境中使用 WAN)上工作得更好。


图 8-3    多原版复制的详细视图

图 8-3 说明的示例中, 要确保 ou=people,dc=siroe,dc=com 后缀始终可用于修改操作,其原版必须位于两台供给服务器上。每台供给服务器维护自己的更改日志。当其中一个原版处理来自客户机的修改请求时,它在自己的更改日志中记录下操作,然后将复制更新发送给其它供给服务器和客户。

这就是供给服务器互相之间以及与客户服务器之间需要有复制协议的原因。每台供给服务器还储存一个绑定 DN,它允许其它原版绑定以提供复制更新。

在该示例中,每台客户服务器储存两个对应于供给器绑定 DN 的条目,这样,它可以在供给器绑定以发送复制更新时对其进行验证。每个客户都可能只有一个对应于供给器绑定 DN 的条目。在这种情况下,两个供给器使用相同的供给器绑定 DN 进行绑定。

在多原版复制环境中,当客户服务器接收到来自客户机的修改请求时,它将向客户机返回到两台供给器的引荐。


注意 客户服务器储存有关供给服务器的引荐信息。客户服务器并不将来自客户机的修改请求转发给供给器。客户机必须遵循客户服务器返回的引荐。


有关设置具有两台供给服务器和两台客户服务器的多原版复制的信息,请参阅“配置多原版复制”


级联复制

在级联复制环境中,一个通常称为中枢供给器的服务器将对于特定的副本既充当客户服务器又充当供给服务器。对于持有数据原版副本的供给服务器而言,它将接收来自该供给服务器的更新,并继而将这些更新提供给客户。级联复制在下列情况中非常有用:

  • 当需要平衡巨大的通信量负载时:例如,因为供给服务器需要处理所有的更新通信量,所以它在承担沉重负载的情况下还需要支持到客户服务器的所有复制通信量。您可以将复制通信量卸载到中枢服务器,它可以为大量客户提供复制更新服务。

  • 通过在按地理位置分布的环境中使用本地中枢供给器,降低连接开销。

  • 提高目录服务的性能:如果将所有执行读取操作和所有执行更新操作的客户机应用程序分别定向到客户和供给器,则可以从中枢服务器删除所有索引(除系统索引外)。这将显著提高供给器和中枢服务器之间的复制速度。

图 8-3 显示了级联复制的一个示例。本例显示的是一个简单的级联复制环境。您可以用若干个中枢供给器和数量众多的客户创建更复杂的环境。

图 8-4    级联复制

图 8-4 说明的示例中,中枢供给器用于平衡复制更新的负载,方法是在供给服务器和中枢供给器之间共享负载。

供给服务器和中枢供给服务器共同维护一个更改日志。但是,只有供给服务器才可以处理来自客户机的目录修改请求。

客户服务器和中枢供给器可以处理从客户机接收的搜索请求,但对于修改请求,它们将向客户机返回到供给服务器的引荐。图 8-4 说明客户服务器 C 和 D 含有到供给服务器 A 的引荐。这些引荐是在配置客户副本期间指定供给服务器时创建的自动引荐。


注意 客户服务器和中枢供给器存储有关供给服务器的引荐信息。它们并不将来自客户机的修改请求转发给供给器。客户机必须遵循客户服务器返回的引荐。


有关设置级联复制的信息,请参阅“配置级联复制”


注意 可以将多原版复制和级联复制组合使用。例如,在图 8-3 所示的多原版环境中,服务器 C 和服务器 D 可以是被复制到任意数目的客户服务器中的中枢供给器。




复杂复制配置的步骤摘要


如果是在为大量服务器配置复制功能,且配置工作相对复杂,则为了提高效率,应按以下顺序进行:

  1. 在所有客户服务器上:

    • 创建副本数据库

    • 创建至少一个复制管理器或供给器绑定 DN 条目

    • 指定客户副本的设置

  2. 在所有中枢供给器上:

    • 创建副本数据库

    • 创建复制管理器或供给器绑定 DN 条目

    • 为复制指定供给器设置(包括更改日志配置)

    • 指定中枢副本的设置

  3. 在所有供给器上:

    • 创建副本数据库

    • 为复制指定供给器设置(包括更改日志配置)

    • 指定供给器副本的设置

  4. 配置所有供给器上的复制协议:

    • 在多原版集的供给器之间

    • 在供给器和指定客户之间

    • 在供给器和中枢供给器之间

    也可选择在该阶段初始化客户服务器和中枢供给器上的副本。在多原版复制中,从一个供给器副本初始化另一个供给器副本。千万不可试图一起初始化所有供给器副本。

  5. 在所有中枢供给器上,配置中枢供给器和指定客户之间的复制协议。

    也可选择在该阶段初始化客户服务器上的副本。


    注意 在试图创建复制协议前,创建和配置所有副本非常重要。这也同时意味着在创建复制协议时,可以选择立即初始化客户。客户初始化始终是设置复制的最后一个阶段。




详细的复制任务

本部分介绍配置复制时需要执行的任务。


创建供给器绑定 DN 项

设置复制时,关键的部分是创建供给器用于绑定到客户服务器以执行复制更新所需的条目(称为复制管理器条目或供给器绑定 DN 条目)。

供给器绑定 DN 必须满足的标准和特性在“复制标识”中说明。

要创建供给器绑定条目:

  1. 在每台充当复制协议中客户的服务器上,创建供给器用于绑定时所需的特殊条目。

    该条目不得为所复制的数据库的组成部分。例如,可以使用 cn=Replication Manager,cn=config。确保所建条目中包含复制协议中指定的验证方法所需的属性。

  2. 指定 userPassword 属性-值对。

  3. 如果已启用口令到期策略(或打算将来如此),则必须牢记要禁用该策略,避免复制因口令到期而失败。要禁用 userPassword 属性的口令到期策略,需要添加值为 20380119031407Z 的 passwordExpirationTime 属性,这就使得口令永远不会过期。

如果将副本配置为客户,则必须使用该条目的 DN 来定义供给器绑定 DN。


注意 该供给器绑定 DN 对应于有权限的用户,因为他们不受访问控制的限制。



配置供给器设置

在持有供给器副本或中枢副本的任何服务器上,必须指定供给器设置,即更改日志参数。

要配置供给器设置:

  1. 在 Directory Server Console 中,单击“配置”选项卡。

    有关启动 Directory Server Console 的详细信息,请参阅第 26 页上的“使用 iPlanet Directory Server Console”

  2. 在左侧的导航树中,突出显示“复制”节点。

  3. 在右侧导航窗口中,单击“供给器设置”选项卡。

  4. 选中“启用更改日志”复选框。

    这将激活下面窗口中以前显灰的所有字段。

  5. 单击“使用默认值”按钮以指定更改日志,或者单击“浏览”以显示文件选择器。

  6. 设置更改日志的数目和存在周期参数。

    要指定不同的值,则必须清除“不限制”复选框。

  7. 单击“保存”以保存目录服务器的供给器设置。


配置供给器副本

对于每一个供给器副本而言,必须指定适当的复制设置。

要配置读写副本:

  1. 在 Directory Server Console 中,单击“配置”选项卡。

    有关启动 iPlanet Directory Server Console 的详细信息,请参阅第 26 页上的“使用 iPlanet Directory Server Console”

  2. 在左侧的导航树中,展开“复制”文件夹,然后突出显示所要复制的数据库。

    “副本设置”选项卡将显示在右侧的导航窗口中。

  3. 选中“启用副本”复选框。

  4. 在“副本角色”部分中,选择“单原版”或“多原版”单选按钮。

  5. 在“通用设置”部分中,指定副本 ID(1 到 254 之间的整数,包括首尾数字)。

    对于每个供给器副本而言,副本 ID 必须唯一。确保指定的 ID 不同于该服务器及其它服务器上读写副本所用的 ID。

  6. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

    该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

  7. 单击“保存”以保存数据库的复制设置。


配置客户副本

对于每一个读写副本而言,必须指定适当的复制参数。

  1. 在 Directory Server Console 中,单击“配置”选项卡。

    有关启动 iPlanet Directory Server Console 的详细信息,请参阅第 26 页上的“使用 iPlanet Directory Server Console”

  2. 在左侧的导航树中,展开“复制”文件夹,然后突出显示副本数据库。

    “副本设置”选项卡将显示在右侧的导航窗口中。

  3. 选中“启用副本”复选框。

  4. 在“副本角色”部分中,选择“指定客户”单选按钮。

  5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

    该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

    由于无需指定客户的复制 ID(对于所有客户副本而言,它被自动设置为 65535),因此“复制 ID”字段一直处于不可用状态。

  6. 在“更新设置”部分中,指定供给器用于绑定到副本所需的供给器绑定 DN(复制管理器 DN)。

    如果您是首次配置副本,则“当前的供给器 DN”列表为空。每个副本可以有多个供给器绑定 DN,但每个复制协议只有一个供给器 DN。

    要指定新的供给器绑定 DN:

    1. 在相应的字段中输入新的供给器绑定 DN。

      所输入的 DN 必须对应于在客户服务器上创建的条目(例如,cn=Replication Manager,cn=config)。

    2. 单击“添加”。

      新的供给器绑定 DN 将直接出现在上述“当前的供给器 DN”列表中。

    3. 为每个要添加到列表中的供给器绑定 DN 重复以上操作。

  7. 指定更新所要指向的服务器的 LDAP URL。

    如果您是首次配置副本,则“引荐的当前 URL”列表为空。默认情况下,该列表不显示存放副本数据的原版服务器的 URL(客户服务器自动创建这个引荐)。

    自动引荐假定客户机将通过常规连接来进行绑定,因此格式为 ldap://servername:port。如果想使用 SSL 将客户机绑定到供给器,则可使用该字段来指定以下格式的引荐:ldaps://servername:port(其中,ldaps 中的 s 表示安全连接)。

    如果为引荐指定 LDAP URL,则目录服务器首先将修改请求指向所指定的 URL。如果不指定,则修改请求将指向包含当前副本的供给器。

    要为引荐指定一个新的 URL:

    1. 在相应的字段中输入新的 LDAP URL,或者单击“构造”以显示一个帮助构建 LDAP URL 的对话框。

    2. 单击“添加”。

      新的 LDAP URL 将直接出现在上述“当前的引荐 URL”列表中。

    3. 为每个要添加到列表中的引荐重复以上操作。

  8. 单击“保存”以保存副本的复制设置。


配置中枢供给器副本

在级联复制环境中,按如下所述配置中枢供给器:

  1. 在 Directory Server Console 上,单击“配置”选项卡。

    有关启动 iPlanet Directory Server Console 的详细信息,请参阅第 26 页上的“使用 iPlanet Directory Server Console”

  2. 在左侧的导航树中,展开“复制”文件夹,然后突出显示所要复制的数据库。

    “副本设置”选项卡将显示在右侧的导航窗口中。

  3. 选中“启用副本”复选框。

  4. 在“副本角色”部分中,选择“中枢”单选按钮。

  5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

    该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

    由于无需指定中枢供给器的复制 ID(与客户副本相似,它被自动设置为 65535),因此“复制 ID”字段一直处于不可用状态。

  6. 在“更新设置”部分中,指定供给器用于绑定到中枢副本所需的供给器绑定 DN(复制管理器 DN)。

    如果您是首次配置副本,则“当前的供给器 DN”列表为空。每个副本可以有多个供给器绑定 DN,但每个复制协议只有一个供给器 DN。

    要指定新的供给器绑定 DN:

    1. 在相应的字段中输入新的供给器绑定 DN。

      所输入的 DN 必须对应于在客户服务器上创建的条目(例如,cn=Replication Manager,cn=config)。

    2. 单击“添加”。

      新的供给器绑定 DN 将直接出现在上述“当前的供给器 DN”列表中。

    3. 为每个要添加到列表中的供给器绑定 DN 重复以上操作。

  7. 指定更新所要指向的服务器的 LDAP URL。

    如果您是首次配置副本,则“引荐的当前 URL”列表为空。默认情况下,该列表不显示存放副本数据的原版服务器的 URL(中枢服务器自动创建这个引荐)。

    自动引荐假定客户机将通过常规连接来进行绑定,因此格式为 ldap://servername:port。如果想使用 SSL 将客户机绑定到供给器,则可使用该字段来指定以下格式的引荐:ldaps://servername:port(其中,ldaps 中的 s 表示安全连接)。

    如果为引荐指定 LDAP URL,则目录服务器首先将修改请求指向所指定的 URL。如果不指定,则修改请求将指向包含当前副本的供给器。

    要为引荐指定一个新的 URL:

    1. 在相应的字段中输入新的 LDAP URL,或者单击“构造”以显示一个帮助构建 LDAP URL 的对话框。

    2. 单击“添加”。

      新的 LDAP URL 将直接出现在上述“当前的引荐 URL”列表中。

    3. 为每个要添加到列表中的引荐重复以上操作。

  8. 单击“保存”以保存数据库的复制设置。


创建复制协议

本部分说明如何创建复制协议。必须在供给服务器上为提供给客户服务器或中枢供给器的每个读写副本创建复制协议。

创建复制协议之前,您必须:

要创建复制协议:

  1. 在 Directory Server Console 中,单击“配置”选项卡。

  2. 在导航树中,展开“复制”文件夹,右键单击所要复制的数据库,然后选择“新复制协议”。

    也可以突出显示数据库,然后从“对象”菜单中选择“新复制协议”。这将启动“复制协议向导”。

  3. 单击“下一步”以继续执行后面的步骤,从而完成复制向导中的步骤。

    有关每个字段要输入的内容的详细说明,请参考在线帮助。

    完成后,在数据库图标的下面显示一个代表复制协议的图标。该复制协议图标表示复制协议已经完成设置。



配置单原版复制

本部分提供如何配置单原版复制的分步说明。要按图 8-1 中所示的配置在持有供给器副本的供给服务器 A 和持有客户副本的客户服务器 B 之间设置单原版复制,必须执行以下任务:

  1. 配置客户服务器(供给器绑定 DN 以及可选的修改请求引荐)和客户副本。

    有关该过程的说明见“配置客户服务器和副本”

  2. 配置供给服务器(更改日志和复制 ID)和供给器副本。

    有关该过程的说明见“配置供给服务器和副本”

  3. 初始化客户服务器上的副本。

    有关该过程的说明见 “初始化单原版复制中的副本”


配置客户服务器和副本

  1. 创建副本数据库(如果不存在)。

    有关说明,请参阅第 74 页上的“创建后缀”

  2. 创建对应于供给器绑定 DN 的条目(如果不存在)。这是供给器用于绑定时的特殊条目。

    1. 在 Directory Server Console 中,单击“目录”选项卡,然后创建条目。例如,可以使用 cn=Replication Manager,cn=config

    2. 指定 userPassword 属性-值对。

    3. 如果已启用口令到期策略(或打算将来如此),则必须牢记要禁用该策略,避免复制因口令到期而失败。要禁用 userPassword 属性的口令到期策略,需要添加值为 20380119031407Z 的 passwordExpirationTime 属性,这就使得口令永远不会过期。


      注意 该供给器绑定 DN 对应于有权限的用户,因为他们不受访问控制的限制。该条目不得为所复制的数据库的组成部分。


  3. 指定客户副本所需的复制设置。

    1. 在 Directory Server Console 中,单击“配置”选项卡。

    2. 在导航树中,展开“复制”文件夹,然后突出显示副本数据库。

      “副本设置”选项卡将显示在窗口的右侧。

    3. 选中“启用副本”复选框。

    4. 在“副本角色”部分中,选择“指定客户”单选按钮。

    5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

      该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

      由于无需指定客户的复制 ID(对于所有客户副本而言,它被自动设置为 65535),因此“复制 ID”字段一直处于不可用状态。

    6. 在“更新设置”部分中,指定供给器用于绑定到副本所需的供给器绑定 DN(复制管理器 DN)。

      如果您是首次配置副本,则“当前的供给器 DN”列表为空。每个副本可以有多个供给器绑定 DN,但每个复制协议只有一个供给器 DN。

      要指定新的供给器绑定 DN:

    7. 在相应的字段中输入新的供给器绑定 DN。所输入的 DN 必须对应于在步骤 2 中创建的条目(例如,cn=Replication Manager,cn=config)。

    8. 单击“添加”。新的供给器绑定 DN 将直接出现在上述的“当前的供给器 DN”列表中。

    9. 为每个要添加到列表中的供给器绑定 DN 重复以上操作。

    10. 或者,指定更新所要指向的服务器的 LDAP URL。

      如果您是首次配置副本,则“引荐的当前 URL”列表为空。默认情况下,该列表不显示存放副本数据的原版服务器的 URL(该服务器自动创建这个引荐)。

      自动引荐假定客户机将通过常规连接来进行绑定,因此格式为 ldap://servername:port。如果想使用 SSL 将客户机绑定到供给器,则可使用该字段来指定以下格式的引荐:ldaps://servername:port(其中,ldaps 中的 s 表示安全连接)。

      如果为引荐指定 LDAP URL,则目录服务器首先将更新请求指向所指定的 URL。如果不指定,则更新请求将指向包含当前副本的供给器。

      要为引荐指定一个新的 URL:

    11. 在相应的字段中输入新的 LDAP URL,或者单击“构造”以显示一个帮助构建 LDAP URL 的对话框。

    12. 单击“添加”。新的 LDAP URL 将直接出现在上述“当前的引荐 URL”列表中。

    13. 为每个要添加到列表中的引荐重复以上操作。

  4. 单击“保存”以保存副本的复制设置。


配置供给服务器和副本

  1. 指定服务器的供给器设置。

    1. 在 Directory Server Console 中,单击“配置”选项卡。

    2. 在导航树中,突出显示“复制”节点。

    3. 在窗口右侧,在“供给器设置”选项卡中选中“启用更改日志”复选框。

      这将激活下面窗口中以前显灰的所有字段。

    4. 单击“使用默认值”按钮以指定更改日志,或单击“浏览”按钮以显示文件选择器。

    5. 设置更改日志参数(数目和存在周期)

      如果要指定不同的值,则必须清除“不限制”复选框。

    6. 单击“保存”以保存供给器设置。

  2. 指定供给器副本所需的复制设置。

    1. 在导航树的“配置”选项卡中,展开“复制”节点并突出显示所要复制的数据库。

      “副本设置”选项卡将显示在窗口的右侧。

    2. 选中“启用副本”复选框。

    3. 在“副本角色”部分中,选择“单原版”单选按钮。

    4. 在“通用设置”部分中,指定副本 ID(1 到 65534 之间的整数,包括首尾数字)。

      对于每个供给器副本而言,副本 ID 必须唯一。确保指定的 ID 不同于该服务器及其它服务器上读写副本所用的 ID。

    5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

      该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

    6. 单击“保存”以保存数据库的复制设置。

  3. 创建该供给器与客户之间的复制协议。

    1. 在导航树的“配置”选项卡中,右键单击所要复制的数据库,然后选择“新复制协议”。

      也可以突出显示数据库,然后从“对象”菜单中选择“新复制协议”。这将启动“复制协议向导”。

    2. 单击“下一步”以继续执行后面的步骤,从而完成复制向导中的步骤。

      有关每个字段要输入的内容的详细说明,请参考在线帮助。

    3. 完成操作后,即设置好复制协议。


在单原版复制环境下初始化副本

您可以从“复制协议向导”初始化客户副本,也可在以后随时初始化客户副本。有关初始化客户副本的信息,请参阅“初始化客户”



配置多原版复制


本部分说明如何配置多原版复制。在多原版复制配置中,两个供给器可以接受更新、实现彼此同步及更新所有客户。客户将更新请求指向两个原版。本部分提供如何配置多原版复制的分步说明。

要按图 8-2 中所示的配置在两个服务器之间(例如两个都持有读写副本的服务器 A 和服务器 B;两个都持有客户副本的客户服务器 C 和 D)设置多原版复制,必须执行以下任务:

  1. 配置客户服务器(供给器绑定 DN 以及可选的修改请求引荐)和客户副本。

    有关该过程的说明见“配置客户服务器和副本”

  2. 配置供给服务器(更改日志和复制 ID)以及供给器副本。

    有关该过程的说明见“配置供给服务器和副本”

  3. 初始化客户服务器上的客户副本。

    有关该过程的说明见 “初始化多原版复制中的副本”


配置客户服务器和副本

在每台客户服务器上执行以下步骤:

  1. 创建副本数据库(如果不存在)。

    有关说明,请参阅第 74 页上的“创建后缀”

  2. 创建对应于供给器绑定 DN 的条目(如果不存在)。这是供给器用于绑定时的特殊条目。

    1. 在 Directory Server Console 中,单击“目录”选项卡,然后创建条目。例如,可以使用 cn=Replication Manager,cn=config

    2. 指定 userPassword 属性-值对。

    3. 如果已启用口令到期策略(或打算将来如此),则必须牢记要禁用该策略,避免复制因口令到期而失败。要禁用 userPassword 属性的口令到期策略,需要添加值为 20380119031407Z 的 passwordExpirationTime 属性,这就使得口令永远不会过期。


      注意 该供给器绑定 DN 对应于有权限的用户,因为他们不受访问控制的限制。该条目不得为所复制的数据库的组成部分。


  3. 指定客户副本所需的复制设置。

    1. 在 Directory Server Console 中,单击“配置”选项卡。

    2. 在导航树中,展开“复制”文件夹,然后突出显示副本数据库。

      “副本设置”选项卡将显示在窗口的右侧。

    3. 选中“启用副本”复选框。

    4. 在“副本角色”部分中,选择“指定客户”单选按钮。

    5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

      该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

      由于无需指定客户的复制 ID(对于所有客户副本而言,它被自动设置为 65535),因此“复制 ID”字段一直处于不可用状态。

    6. 在“更新设置”部分中,指定供给器用于绑定到副本所需的供给器绑定 DN(复制管理器 DN)。

      如果您是首次配置副本,则“当前的供给器 DN”列表为空。每个副本可以有多个供给器绑定 DN,但每个复制协议只有一个供给器 DN。

      要指定新的供给器绑定 DN:

    7. 在相应的字段中输入新的供给器绑定 DN。所输入的 DN 必须对应于在步骤 2 中创建的条目(例如,cn=Replication Manager,cn=config)。

    8. 单击“添加”。新的供给器绑定 DN 将直接出现在上述的“当前的供给器 DN”列表中。

    9. 为每个要添加到列表中的供给器绑定 DN 重复以上操作。

    10. 或者,指定更新所要指向的服务器的 LDAP URL。

      如果您是首次配置副本,则“引荐的当前 URL”列表为空。默认情况下,该列表不显示存放副本数据的原版服务器的 URL(客户服务器自动创建这个引荐)。

      自动引荐假定客户机将通过常规连接来进行绑定,因此格式为 ldap://servername:port。如果想使用 SSL 将客户机绑定到供给器,则可使用该字段来指定以下格式的引荐:ldaps://servername:port(其中,ldaps 中的 s 表示安全连接)。

      如果为引荐指定 LDAP URL,则目录服务器首先将更新请求指向所指定的 URL。如果不指定,则更新请求将指向包含当前副本的供给器。

      要为引荐指定一个新的 URL:

    11. 在相应的字段中输入新的 LDAP URL,或者单击“构造”以显示一个帮助构建 LDAP URL 的对话框。

    12. 单击“添加”。新的 LDAP URL 将直接出现在上述“当前的引荐 URL”列表中。

    13. 为每个要添加到列表中的引荐重复以上操作。

  4. 单击“保存”以保存副本的复制设置。

在复制配置中,为每个客户服务器重复上述步骤。


配置供给服务器和副本

在每台供给服务器上执行以下步骤:

  1. 在服务器 A 和服务器 B 上,为每台服务器指定供给器设置。

    1. 在 Directory Server Console 中,单击“配置”选项卡。

    2. 在导航树中,突出显示“复制”节点。

    3. 在窗口右侧,单击“供给器设置”选项卡。

    4. 选中“启用更改日志”复选框。

      这将激活下面窗口中以前显灰的所有字段。

    5. 单击“使用默认值”按钮以指定更改日志,或单击“浏览”按钮以显示文件选择器。

    6. 设置更改日志参数(数目和存在周期)

      如果要指定不同的值,则必须清除“不限制”复选框。

    7. 单击“保存”以保存供给器设置。

  2. 创建对应于供给器绑定 DN 的条目(如果不存在)。对于多原版复制而言,必须在供给服务器(以及客户服务器)上创建此供给器绑定 DN,因为这些服务器充当其它供给服务器的客户和供给器。

    1. 在 Directory Server Console 中,单击“目录”选项卡,然后创建条目。例如,可以使用 cn=Replication Manager,cn=config

    2. 指定 userPassword 属性-值对。

    3. 如果已启用口令到期策略(或打算将来如此),则必须牢记要禁用该策略,避免复制因口令到期而失败。要禁用 userPassword 属性的口令到期策略,需要添加值为 20380119031407Z 的 passwordExpirationTime 属性,这就使得口令永远不会过期。


      注意 该供给器绑定 DN 对应于有权限的用户,因为他们不受访问控制的限制。该条目不得为所复制的数据库的组成部分。


  3. 在服务器 A 和服务器 B 上,为多原版读写副本指定复制参数。

    1. 在导航树的“配置”选项卡中,展开“复制”节点并突出显示所要复制的数据库。

      “副本设置”选项卡将显示在窗口的右侧。

    2. 选中“启用副本”复选框。

    3. 在“副本角色”部分中,选择“多原版”单选按钮。

    4. 在“通用设置”部分中,指定副本 ID(1 到 65534 之间的整数,包括首尾数字)。

      对于每个供给器副本而言,副本 ID 必须唯一。确保指定的 ID 不同于该服务器及其它服务器上读写副本所用的 ID。

    5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

      该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

    6. 在“更新设置”部分中,指定供给器用于绑定到副本所需的供给器绑定 DN(复制管理器 DN)。

      如果您是首次配置副本,则“当前的供给器 DN”列表为空。每个副本可以有多个供给器绑定 DN,但每个复制协议只有一个供给器 DN。

      要指定新的供给器绑定 DN:

    7. 在相应的字段中输入新的供给器绑定 DN。所输入的 DN 必须对应于在步骤 2 中创建的条目(例如,cn=Replication Manager,cn=config)。

    8. 单击“添加”。新的供给器绑定 DN 将直接出现在上述“当前的供给器 DN”列表中。

    9. 为每个要添加到列表中的供给器绑定 DN 重复以上操作。


      注意 在供给服务器上,无需为引荐指定 LDAP URL。


    10. 单击“保存”以保存数据库的复制设置。

  4. 在服务器 A 上,设置下列复制协议:

    • 一个用于供给服务器 B,此处 B 被配置为副本的客户

    • 一个用于每个客户:服务器 C 和服务器 D。

    • 在导航树的“配置”选项卡中,右键单击所要复制的数据库,然后选择“新复制协议”。

      也可以突出显示数据库,然后从“对象”菜单中选择“新复制协议”。这将启动“复制协议向导”。

    • 单击“下一步”以继续执行后面的步骤,从而完成复制向导中的步骤。

      有关每个字段要输入的内容的详细说明,请参考在线帮助。

      您可以从“复制协议向导”中初始化服务器 B 上的客户副本和供给器副本,也可以后随时初始化上述副本。有关初始化客户副本时顺序和步骤的信息,请参阅“初始化多原版复制中的副本”“初始化客户”

    完成操作后,即设置好复制协议。

  5. 在服务器 B 上,设置下列复制协议:

    • 一个用于供给服务器 A,此处 A 被声明为副本的客户。如果已按照步骤 4 中所述从服务器 A 中初始化服务器 B,则在该操作过程中不要从服务器 B 初始化服务器 A。

    • 一个用于每个客户:服务器 C 和服务器 D。


      注意 完成这些步骤后,服务器 A 和服务器 B 有共同的复制协议,因此它们可以接受彼此的更新。


如果已配置好持有供给器副本的服务器、必要的复制协议及持有客户副本的服务器,即可初始化复制过程。在供给服务器上创建复制协议时可以执行该任务,也可在以后随时执行该任务。


在多原版复制环境下初始化副本

如果是多原版复制,则应按下列顺序初始化副本:

  1. 确保一个原版有完整的待复制数据。使用该原版初始化多原版复制集中另一个原版上的供给器副本。

  2. 从两个原版中的任何一个来初始化客户服务器上的副本。

有关初始化副本的信息,请参阅“初始化客户”



配置级联复制


本部分说明如何设置级联复制。在级联复制环境中,供给服务器更新中间服务器(称为中枢服务器),中间服务器继而更新一个或几个客户服务器。本部分提供如何设置级联复制的分步说明。

要按图 8-4 中所示的配置在服务器 A 上的供给器、中枢服务器 B 和客户服务器 C 之间设置级联复制,必须执行以下任务:

  1. 配置客户服务器(供给器绑定 DN 以及可选的修改请求引荐)和客户副本。

    有关该过程的说明见“配置客户服务器和副本”

  2. 配置中枢供给器(更改日志、供给器绑定 DN 以及可选的修改请求的引荐)和中枢副本。

    有关该过程的说明见“配置中枢服务器和副本”

  3. 配置供给服务器(更改日志和复制 ID)和供给器副本。

    有关该过程的说明见“配置供给服务器和副本”

  4. 在供给服务器和中枢供给器上配置复制协议。

    有关该过程的说明见“配置复制协议”

  5. 在中枢供给器和客户服务器上初始化副本。

    有关该过程的说明见 “初始化级联复制中的副本”


配置客户服务器和副本

  1. 在客户服务器上创建副本数据库(如果不存在)。

    有关说明,请参阅第 74 页上的“创建后缀”

  2. 在客户服务器上创建对应于供给器绑定 DN 的条目(如果不存在)。这是供给器用于绑定时的特殊条目。

    1. 在 Directory Server Console 中,单击“目录”选项卡,然后创建条目。例如,可以使用 cn=Replication Manager,cn=config

    2. 指定 userPassword 属性-值对。

    3. 如果已启用口令到期策略(或打算将来如此),则必须牢记要禁用该策略,避免复制因口令到期而失败。要禁用 userPassword 属性的口令到期策略,需要添加值为 20380119031407Z 的 passwordExpirationTime 属性,这就使得口令永远不会过期。


      注意 该供给器绑定 DN 对应于有权限的用户,因为他们不受访问控制的限制。该条目不得为所复制的数据库的组成部分。


  3. 在客户服务器上为客户副本指定复制参数。

    1. 在 Directory Server Console 中,单击“配置”选项卡。

    2. 在导航树中,展开“复制”文件夹,然后突出显示副本数据库。

      “副本设置”选项卡将显示在窗口的右侧。

    3. 选中“启用副本”复选框。

    4. 在“副本角色”部分中,选择“指定客户”单选按钮。

    5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

      该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

      由于无需指定客户的复制 ID(对于所有客户副本而言,它被自动设置为 65535),因此“复制 ID”字段一直处于不可用状态。

    6. 在“更新设置”部分中,指定供给器用于绑定到副本所需的供给器绑定 DN(复制管理器 DN)。

      如果您是首次配置副本,则“当前的供给器 DN”列表为空。每个副本可以有多个供给器绑定 DN,但每个复制协议只有一个供给器 DN。

      要指定新的供给器绑定 DN:

    7. 在相应的字段中输入新的供给器绑定 DN。所输入的 DN 必须对应于在步骤 2 中创建的条目(例如,cn=Replication Manager,cn=config)。

    8. 单击“添加”。新的供给器绑定 DN 将直接出现在上述“当前的供给器 DN”列表中。

    9. 为每个要添加到列表中的供给器绑定 DN 重复以上操作。

    10. 或者,指定更新所要指向的服务器的 LDAP URL。

      如果您是首次配置副本,则“引荐的当前 URL”列表为空。默认情况下,该列表不显示存放副本数据的原版服务器的 URL(客户服务器自动创建这个引荐)。

      自动引荐假定客户机将通过常规连接来进行绑定,因此格式为 ldap://servername:port。如果想使用 SSL 将客户机绑定到供给器,则可使用该字段来指定以下格式的引荐:ldaps://servername:port(其中,ldaps 中的 s 表示安全连接)。

      如果为引荐指定 LDAP URL,则目录服务器首先将更新请求指向所指定的 URL。如果不指定,则更新请求将指向包含当前副本的供给器。

      要为引荐指定一个新的 URL:

    11. 在相应的字段中输入新的 LDAP URL,或者单击“构造”以显示一个帮助构建 LDAP URL 的对话框。

    12. 单击“添加”。新的 LDAP URL 将直接出现在上述“当前的引荐 URL”列表中。

    13. 为每个要添加到列表中的引荐重复以上操作。

  4. 单击“保存”以保存副本的复制设置。


配置中枢服务器和副本

在从原版接收复制更新并将其传播给客户服务器的中枢供给器上执行以下步骤:

  1. 创建副本数据库(如果不存在)。

    有关说明,请参阅第 74 页上的“创建后缀”

  2. 创建对应于供给器绑定 DN 的条目(如果不存在)。这是供给器用于绑定时的特殊条目。

    1. 在 Directory Server Console 中,单击“目录”选项卡,然后创建条目。例如,可以使用 cn=Replication Manager,cn=config

    2. 指定 userPassword 属性-值对。

    3. 如果已启用口令到期策略(或打算将来如此),则必须牢记要禁用该策略,避免复制因口令到期而失败。要禁用 userPassword 属性的口令到期策略,需要添加值为 20380119031407Z 的 passwordExpirationTime 属性,这就使得口令永远不会过期。


      注意 该供给器绑定 DN 对应于有权限的用户,因为他们不受访问控制的限制。该条目不得为所复制的数据库的组成部分。


  3. Specify the replication settings for the hub replica.

    1. 在 Directory Server Console 中,单击“配置”选项卡。

    2. 在导航树中,展开“复制”文件夹,然后突出显示副本数据库。

      “副本设置”选项卡将显示在窗口的右侧。

    3. 选中“启用副本”复选框。

    4. 在“副本角色”部分中,选择“中枢”单选按钮。

    5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

      该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

      由于无需指定中枢供给器的复制 ID(与客户副本非常相似,它被自动设置为 65535),因此“复制 ID”字段一直处于不可用状态。

    6. 在“更新设置”部分中,指定供给器用于绑定到副本所需的供给器绑定 DN(复制管理器 DN)。

      如果您是首次配置副本,则“当前的供给器 DN”列表为空。每个副本可以有多个供给器绑定 DN,但每个复制协议只有一个供给器 DN。

      要指定新的供给器绑定 DN:

    7. 在相应的字段中输入新的供给器绑定 DN。所输入的 DN 必须对应于在步骤 2 中创建的条目(例如,cn=Replication Manager,cn=config)。

    8. 单击“添加”。新的供给器绑定 DN 将直接出现在上述“当前的供给器 DN”列表中。

    9. 为每个要添加到列表中的供给器绑定 DN 重复以上操作。

    10. 或者,指定更新所要指向的服务器的 LDAP URL。

      如果您是首次配置副本,则“引荐的当前 URL”列表为空。默认情况下,该列表不显示存放副本数据的原版服务器的 URL(中枢服务器自动创建这个引荐)。

      自动引荐假定客户机将通过常规连接来进行绑定,因此格式为 ldap://servername:port。如果想使用 SSL 将客户机绑定到供给器,则可使用该字段来指定以下格式的引荐:ldaps://servername:port(其中,ldaps 中的 s 表示安全连接)。

      如果为引荐指定 LDAP URL,则目录服务器首先将修改请求指向所指定的 URL。如果不指定,则修改请求将指向包含当前副本的供给器。

      要为引荐指定一个新的 URL:

    11. 在相应的字段中输入新的 LDAP URL,或者单击“构造”以显示一个帮助构建 LDAP URL 的对话框。

    12. 单击“添加”。新的 LDAP URL 将直接出现在上述“当前的引荐 URL”列表中。

    13. 为每个要添加到列表中的引荐重复以上操作。

  4. 单击“保存”以保存副本的复制设置。


配置供给服务器和副本

在持有数据库原始副本的供给服务器上执行以下步骤:

  1. 指定服务器的供给器设置。

    1. 在 Directory Server Console 中,单击“配置”选项卡。

    2. 在导航树中,突出显示“复制”节点。

    3. 在窗口右侧,单击“供给器设置”选项卡。

    4. 选中“启用更改日志”复选框。

      这将激活下面窗口中以前显灰的所有字段。

    5. 单击“使用默认值”按钮以指定更改日志,或单击“浏览”按钮以显示文件选择器。

    6. 设置更改日志参数(数目和存在周期)

      如果要指定不同的值,则必须清除“不限制”复选框。

    7. 单击“保存”以保存供给器设置。

  2. 指定所需的复制参数。

    1. 在导航树的“配置”选项卡中,展开“复制”节点并突出显示所要复制的数据库。

      “副本设置”选项卡将显示在窗口的右侧。

    2. 选中“启用副本”复选框。

    3. 在“副本角色”部分中,选择“单原版”单选按钮。

    4. 在“通用设置”部分中,指定副本 ID(1 到 65534 之间的整数,包括首尾数字)。

      对于每个供给器副本而言,副本 ID 必须唯一。确保指定的 ID 不同于该服务器及其它服务器上读写副本所用的 ID。

    5. 在“通用设置”部分中,为“清除延迟”字段指定一个清除延迟时间。

      该选项指示状态信息在复制条目中存储时间的长短。清除前的延迟时间不仅必须足够长以允许复制关闭或在出错后恢复,而且必须适当短以避免在条目中保留过多的数据。缺省设置为 1 个星期。

    6. 单击“保存”以保存数据库的复制设置。


配置复制协议

当配置级联复制环境时,必须先按下列顺序创建复制协议:

  • 首先,在供给服务器上定义该供给器与中枢供给器之间的复制;

  • 其次,在中枢供给器上定义中枢供给器与客户服务器之间的复制。

通过执行上述顺序的操作,在创建复制协议时还可以在中枢供给器和客户服务器上初始化副本。

  1. 在供给服务器上,设置该服务器与中枢供给器之间的复制协议。

    1. 在导航树的“配置”选项卡中,右键单击所要复制的数据库,然后选择“新复制协议”。

      也可以突出显示数据库,然后从“对象”菜单中选择“新复制协议”。这将启动“复制协议向导”。

    2. 单击“下一步”以继续执行后面的步骤,从而完成复制向导中的步骤。

      有关每个字段要输入的内容的详细说明,请参考在线帮助。

      您此时可以初始化中枢供给器上的副本,也可在以后随时初始化该副本。有关在以后阶段初始化副本的信息,请参阅“初始化客户”

  2. 在中枢供给器上,设置该服务器与客户服务器之间的复制协议。

    执行与在步骤 1 中说明的相同的步骤。可以通过复制向导来初始化客户服务器上的副本。如果选择在以后初始化客户服务器,请参阅“初始化客户”以获得有关指导说明。


在级联复制环境下初始化副本

如果选择不在配置复制协议时初始化副本,您可以随时执行此初始化操作,有关的操作说明见“初始化客户”。但是,在级联复制中,请记住始终应按下列顺序初始化副本:

  1. 从供给服务器初始化中枢供给器上的副本。

  2. 从中枢供给器初始化客户服务器上的副本。



删除更改日志

更改日志记录对给定副本的全部修改,供给器使用它将这些修改内容在存储于客户服务器的副本上进行重现(或者在多原版复制的情况下,则在其它原版上进行重现)。如果供给服务器离线,则是否能够删除更改日志很重要,因为它不再保留所有修改的真实记录,所以不应作为复制的基础。删除更改日志后,可以初始化客户服务器并重新启动复制过程。要删除更改日志,可以将其移除或移到新的位置。

本部分包含下列步骤的信息:


移除更改日志

可以使用 iPlanet Directory Server Console 删除更改日志。要从供给服务器删除更改日志:

  1. 在 iPlanet Directory Server Console 上,选择“配置”选项卡。

  2. 在左侧导航树中选择“复制”文件夹,然后选择右侧窗口中的“供给服务器设置”选项卡。

  3. 清除“启用更改日志”复选框。

    这将删除更改日志。

  4. 单击“保存”。

  5. 重新启动 Directory Server。

  6. 重新初始化客户服务器。

    有关详细信息,请参阅“初始化客户”


    注意 如果要删除更改日志,则需要重新初始化客户服务器。



将更改日志移动到新位置

要在服务器正在运行并且继续记录更改时删除更改日志,将该更改日志移到一个新位置即可。通过移动更改日志,在所指定的目录中就创建了一个新的更改日志,而旧的更改日志就被删除了。改变更改日志的位置相当于对其重新初始化,这继而要求客户服务器重新初始化。

例如,可以将更改日志从默认位置的/var/ds5/slapd-serverID/changelogdb 移动 /var/ds5/slapd-serverID/newchangelog。该操作应通过 iPlanet Directory Server Console 执行,并且不使用文件系统的 renamemv 命令。



初始化客户


创建复制协议后,必须初始化客户服务器,也就是说,必须真正将数据从供给服务器复制到客户服务器上。本部分首先详细介绍客户初始化,然后说明两种不同的初始化方法。本部分分为下列几个组成部分:


初始化客户的时间

客户初始化涉及将目录子树从供给服务器复制到客户服务器的过程。子树实际位于客户上后,供给服务器即可开始在客户服务器上重现更新操作。

正常操作条件下,客户无须重新进行初始化。但如果由于某种原因而需要从备份中恢复供给服务器数据,则应重新初始化所有由其提供更新的客户。

您可以使用控制台在线初始化客户,也可以使用命令行手动初始化客户。通过控制台进行的在线客户初始化是一种初始化少量客户的有效方法。但是,由于它按顺序对每个副本进行初始化,因此,这种方法不适合初始化大量的副本。配置供给服务器上的复制协议时,如果想同时初始化客户,即可使用“在线客户初始化”方法。

使用命令行进行的手动客户初始化是一种从单个 LDIF 文件初始化大量客户的有效方法。


使用控制台进行在线客户初始化

通过控制台进行的在线客户初始化是初始化或重新初始化客户的最容易方法。但是,如果是通过慢速链路进行复制,则该过程可能会非常耗时,而您可能会发现使用命令行进行的手动客户初始化是更为高效的方法(有关详细信息,请参阅“使用命令行进行的手动客户初始化”)。


注意 当通过在线客户创建方式对客户服务器进行初始化时,对副本的所有操作(包括搜索)都将被指向供给服务器,直到完成初始化过程。



执行在线客户初始化

要在线初始化或重新初始化客户:

  1. 在供给服务器上,在 iPlanet Directory Server Console 中,选择“配置”选项卡。

  2. 展开“复制”文件夹,然后展开所复制的数据库。右键单击复制协议,然后从弹出菜单中选择“初始化客户”。

    此时将显示一条消息,警告客户的副本中所存储的所有信息都将予以删除。

  3. 单击确认框中的“是”。

在线客户初始化过程随即开始。可以在复制协议中检查在线客户初始化的状态。在线客户初始化过程中,状态信息将显示正在初始化副本。

要更新该窗口,请右键单击导航树中的复制协议图标,然后选择“刷新”。完成在线客户创建时,状态的改变会反映出这一情况。

有关监控复制和初始化状态的详细信息,请参阅“监控复制状态”


使用命令行执行手动客户初始化

在复制大量条目的情况下,使用命令行进行的手动客户初始化是最快的客户初始化方法。但与在线客户初始化过程相比,手动客户初始化过程更为复杂。如果由于性能方面的原因而导致在线过程不适用时,建议使用手动过程。

本部分分为下列几个组成部分:


手动客户初始化概述

要手动初始化或重新初始化服务器:

  1. 将供给服务器上的副本导出到 LDIF 文件。

    请参阅“将副本导出到 LDIF”

  2. 将包含供给器副本内容的 LDIF 文件导入客户服务器。

    有关说明,请参阅“将 LDIF 文件导入客户服务器”


    注意 在级联复制环境中,可以使用从供给服务器导出的 LDIF 文件初始化中枢服务器和中枢服务器的客户。



将副本导出到 LDIF

可以使用下列三种方法之一将副本转换为 LDIF:

  1. 通过选择复制向导“初始化客户”对话框中的“创建客户初始化文件”来创建复制协议时。

  2. 在 iPlanet Directory Server Console 中,随时右键单击“复制”文件夹下的复制协议,并从弹出菜单中选择“导出副本”。

  3. 从命令行中,使用第 145 页上的“从命令行导入 LDIF”中所述的导出命令。


将 LDIF 文件导入客户服务器

使用 iPlanet Directory Server Console 中的导入功能,或者使用 directoryserver ldif2db 命令或 directoryserver ldif2db-task,可以将包含供给器副本内容的 LDIF 文件导出到客户服务器。有关两种导入方法的信息,请参阅第 139 页上的“从命令行导入”

如果使用 ldif2db-task,请记住使用客户服务器上所配置的供给器绑定 DN 来进行绑定。


注意 如果使用 ldif2db-task,则 LDIF 文件导入操作不需要事先关闭服务器。




保持副本同步


如果由于正常维护工作而停止复制所涉及的目录服务器,则在该目录服务器返回在线状态时,应确保能通过复制过程立即获得更新。如果是多原版环境中的原版服务器,则需要由多原版集内的其它原版来更新目录信息。在其它情况下,如果中枢供给器或专用客户服务器由于维护工作而离线,则在它们返回在线状态时,需要由供给服务器对其进行更新。

本部分介绍复制重试算法,以及如何不需要等待下次重试就强制进行复制更新。


注意 本部分所介绍的步骤仅在已设置复制功能已完成客户的初始化后方可使用。



复制重试算法

当供给服务器在企图复制到客户失败时,它会以增量时间间隔定期重试。重试模式如下所示:10 秒、20秒、40秒、80秒,直到间隔达到 5 分钟。以后它将每 5 分钟重试一次。

请注意,如果已将复制协议配置为始终保持供给服务器和客户服务器同步,这不足以确保离线已超过五分钟的服务器实现更新。

要确保目录信息在服务器返回在线状态后立即实现同步,可以使用持有目录信息参考副本的供给服务器上的 iPlanet Directory Server Console 或者自定义脚本。


从控制台强制进行复制更新

当客户或多原版集内的原版在经过一段时间的离线后重返在线状态时,为确保能立即发送复制更新,可在持有目录信息当前版本的供给服务器上执行下列步骤:

  1. 在 iPlanet Directory Server Console 上,单击“配置”选项卡,展开“复制”文件夹和数据库节点,直到选中与必须更新的副本相对应的复制协议。

  2. 右键单击复制协议,然后从下拉列表中选择“立即发送更新”。

    这将初始化持有需更新信息的服务器的复制。



SSL 环境下的复制

您可以配置复制中所涉及的 iPlanet Directory Server,以便使所有复制操作都通过 SSL 连接进行。

要在 SSL 中使用复制,则必须首先执行以下操作:

  • 将供给服务器和客户服务器配置为使用 SSL。

  • 对客户服务器进行配置,使之可将供给服务器的证书识别为供给器的 DN。只有在想使用 SSL 客户机验证而非简单验证的情况下,才能执行上述操作。

有关这些步骤的说明见第 11 章“管理 SSL”


注意 下列情况下,通过 SSL 进行复制时将会失败:

  • 供给器的证书是自签名证书

  • 供给器的证书是仅针对 SSL 服务器的证书,即它无法在 SSL 握手期间充当客户机。


将服务器配置为使用 SSL 时,可以使用下列方法来确保通过 SSL 连接实施复制操作:

  • 在两个 iPlanet Directory Server 之间设置复制协议时,使用复制向导。

  • 在配置完初始复制协议后的任何时候,使用 iPlanet Directory Server Console。


使用复制向导配置 SSL 环境下的复制

  1. 在供给服务器的 iPlanet Directory Server Console 上,单击“配置”选项卡,展开“复制”文件夹,然后选择所要复制的数据库。

  2. 右键单击数据库,然后从下拉菜单中选择“新复制协议”。

    此时会显示“复制协议向导”。

  3. 完成“复制协议向导”中的各个步骤,直到显示“源和目标”窗口。

  4. 在“连接”部分中,选中“使用加密 SSL 连接”。

  5. 选择“SSL 客户机验证”或“简单验证”。

    如果选择“SSL 客户机验证”,则供给服务器和客户服务器将使用证书来彼此进行验证。

    如果选择“简单验证”,则供给服务器和客户服务器将使用绑定 DN 和口令来彼此进行验证。必须在所提供的文本字段中指定该信息。指定该选项后,简单验证将在安全信道上进行,但没有证书。

  6. 单击“下一步”,继续复制的设置过程。


使用控制台配置 SSL 环境下的复制

  1. 在供给服务器的 iPlanet Directory Server Console 上,单击“配置”选项卡,展开“复制”文件夹,然后选择要进行修改以启用 SSL 复制的复制协议。

  2. 单击右侧导航窗口中的“连接”选项卡。

    这将显示复制连接设置。

  3. 在“连接”部分中,选中“使用加密 SSL 连接”。

  4. 选择“SSL 客户机验证”或“简单验证”。

    如果选择“SSL 客户机验证”,则供给服务器和客户服务器将使用证书来彼此进行验证。

    如果选择“简单验证”,则供给服务器和客户服务器将使用绑定 DN 和口令来彼此进行验证。必须在所提供的文本字段中指定该信息。指定该选项后,简单验证将在安全信道上进行,但没有证书。

  5. 单击“保存”。



早期版本的复制

本部分说明如何使用 iPlanet Directory Server 的早期版本来优化复制。iPlanet Directory Server 5.1 可涉及 iPlanet Directory Server 早期版本的复制环境,前提是满足以下条件:

  • 在复制协议中,iPlanet Directory Server 5.1 被定义为客户。

  • 传统供给器可以是 iPlanet Directory Server 4.0 或 4.1x。

下列限制条件适用:

  • 传统 iPlanet Directory Server 和 5.1 iPlanet Directory Server 不能更新同一副本。然而,5.1 iPlanet Directory Server 却可有不同的副本:一个由传统 iPlanet Directory Server 提供,另一个则由 5.1 iPlanet Directory Server 提供。

  • iPlanet Directory Server 5.1 不能作为其它副本的供给器。

能够将 iPlanet Directory Server 5.1 用作传统 iPlanet Directory Server 客户的主要优势在于:更便于复制环境的移植。


将 iPlanet Directory Server 5.1 配置为传统目录服务器的客户

如果打算将 iPlanet Directory Server 5.1 用作 iPlanet Directory Server 早期版本的客户,则必须按如下所示进行配置:

  1. 在 Directory Server Console 中,单击“配置”选项卡。

  2. 在“配置”选项卡中,选择“复制”节点,然后单击右侧窗口中的“传统客户设置”选项卡

  3. 选中“启用传统客户”复选框。

    这将激活“验证”框中的字段。

  4. 指定供传统供给服务器用于绑定的供给器 DN。

    另外,可以为供给器指定一个口令。口令必须至少含 8 个字符。

  5. 单击“保存”。

    对于从传统供给器接收更新的每个副本而言,现在必须配置其传统客户设置。

  6. 在导航树中,展开“复制”节点,然后选择将从传统供给器接收更新的副本。

  7. 在右侧窗口中的“副本设置”选项卡中,选中“通用设置”框内的“启用副本”和“用 4.x 副本更新”两个复选框。

    使用复制功能时,只需选中上述选项即可。但不必指定供给器 DN,因为系统将使用步骤 4 中所指定的供给器 DN。

  8. 单击“保存”。

    对于从传统供给器接收更新的每个客户副本,重复步骤 7 步骤 8

    要完成传统复制的设置过程,则现在必须对传统供给器进行配置,从而复制到 5.1 iPlanet Directory Server。有关在 4.x iPlanet Directory Server 上配置复制协议的说明,请参阅传统 iPlanet Directory Server 文档。


    注意 iPlanet Directory Server Console 不会阻止用户将数据库配置为供给器副本及启用传统客户设置。这使得移植过程更为容易,因为移植后可以按照自己的需要对 5.1 iPlanet Directory Server 进行配置,且将仅在移植期间激活传统客户设置。




使用回退更改日志插件

回退更改日志插件允许对 iPlanet Directory Server 5.1 进行配置,从而维护与 iPlanet Directory Server 4.x 中所用更改日志相兼容的更改日志。在 iPlanet Directory Server 5.1 与 iPlanet Meta Directory 共存的部署中,维护回退更改日志至关重要。如果目录客户机依赖于 iPlanet Directory Server 4.x 类型的更改日志,则也可能需要维护回退更改日志。

要使用回退更改日志插件,则必须在单原版复制环境中将 iPlanet Directory Server 5.1 配置为供给服务器。

将 iPlanet Directory Server 5.1 配置为维护回退更改日志后,该更改日志将将存储在特殊后缀 cn=changelog 下的单独数据库中。

更改日志由单级条目组成。更改日志中的每个条目都有对象类 changeLogEntry,且可包含表 8-1 中所列的属性。


表 8-1    回退更改日志条目的属性

属性

定义

changeNumber  

该单值属性始终存在。它包含一个唯一标识各更改结果的整数。此数值与发生更改的顺序有关。数值越大,更改时间越晚。  

targetDN  

该属性包含受 LDAP 操作影响的条目的 DN。如果是 modrdn 操作,则 targetDN 属性中将包含修改或移动操作前条目的 DN。  

changeTime  

该属性指定执行更改操作的时间。  

changeType  

指定 LDAP 操作的类型。该属性的值可以是下列之一:adddeletemodifymodrdn  

changes  

对于添加和修改操作而言,它包含条目所做的更改(LDIF 格式)。  

newRDN  

如果是 modrdn 操作,则指定条目的新 RDN。  

deleteOldRdn  

如果是 modrdn 操作,则指定条目的原 RDN。  

newSuperior  

如果是 modrdn 操作,则指定条目的 newSuperior 属性。  

本部分包含有关下列回退更改日志项的信息:


启用回退更改日志插件

回退更改日志插件配置信息位于 dse.ldifcn=Retro Changelog Plugin,cn=plugins,cn=config 条目中。

从 iPlanet Directory Server Console 中启用回退更改日志插件的步骤与其它所有 iPlanet Directory Server 插件的相同。有关信息,请参阅第 451 页上的“从服务器控制台启用和禁用插件”

要从命令行中启用回退更改日志插件:

  1. 创建包含下列 LDIF 更新语句的 LDIF 文件:

    dn: cn=Retro Changelog Plugin,cn=plugins,cn=config
    changetype: modify
    replace: nsslapd-pluginenabled
    nsslapd-pluginenabled: on

  2. 使用 ldapmodify 命令可以将 LDIF 文件导入到目录中。

  3. 重新启动服务器。

    有关重新启动服务器的信息,请参阅第 35 页上的“启动和停止 iPlanet Directory Server”

回退更改日志将在目录树的特殊后缀 cn=changelog 中予以创建。


修整回退更改日志

在指定的时间后,可自动删除更改日志中的条目。要配置将条目从更改日志中自动予以删除时所经历的时间,则必须设置 cn=Retro Changelog Plugin, cn=plugins, cn=config 条目中的 nsslapd-changelogmaxage 配置属性。

nsslapd-changelogmaxage 属性是以下格式的单值属性:

nsslapd-changelogmaxage: Integer timeUnit

其中 integer 代表一个数字,而 timeUnit 为下列之一:s 表示秒,m 表示分钟,h 表示小时,d 表示天,w 表示星期。


注意 IntegertimeUnit 变量之间不应有空格。上述语法结构中的空格旨在显示属性值是由两个变量组件组成的,而非一个变量。


nsslapd-changelogmaxage 值的示例:

nsslapd-changelogmaxage: 2d


搜索和修改回退更改日志

该更改日志支持搜索操作。对于包含下列格式过滤器的搜索过程而言,它可以起到优化作用:

(&(changeNumber>=X)(changeNumber<=Y))

作为一般规则,不应在回退更改日志条目上执行添加或修改操作,但可以删除条目以减少更改日志的大小。只有在修改默认的访问控制策略时才需要在回退更改日志上执行修改操作。


回退更改日志和访问控制策略

创建回退更改日志时,将默认应用下列访问控制规则:

  • 授予所有经过验证的用户(userdn=anyone, 不要与 userdn=all 匿名访问相混淆)对更改日志顶级条目 cn=changelog 的读取、搜索和比较权限。

  • 不授予写入和删除权限,但隐含授予目录管理员的除外。

不应向匿名用户授予读取权,因为更改日志条目中可能包含对敏感信息(例如口令)的修改。只有经过验证的应用程序和用户才允许访问该信息。

如果要修改适用于回退更改日志的默认访问控制策略,可修改 cn=changelog 条目的 aci 属性。



监控复制状态


可以使用 iPlanet Directory Server Console 来监控复制状态。

要查看复制状态的概要:

  1. 在 iPlanet Directory Server Console 中,选择“状态”选项卡,然后在左侧导航树中选择“复制状态”。

    此时将在右侧窗口中出现一个表,其中包含有关该服务器所配置的每个复制协议的信息。

  2. 单击“刷新”以更新选项卡的内容。

所显示的状态信息的说明见表 8-2


表 8-2    iPlanet Directory Server Console - “状态”选项卡

表格标题

说明

协议  

包含设置复制协议时所提供的名称。  

副本后缀  

包含所复制的后缀  

供给器  

指定协议中的供给服务器。  

客户  

指定协议中的客户服务器。  

更改数量  

指示自服务器启动以来发送给该副本的更改数。  

上一次副本更新开始  

指示最新复制更新的开始时间。  

上一次副本更新结束  

指示最新复制更新的结束时间。  

上一次更新消息  

提供最新复制更新的状态。  

客户初始化  

提供客户初始化的当前状态(是否在进行中)。  

上一次客户初始化更新消息  

提供上一次客户初始化的状态。  

上一次客户初始化开始  

指示客户副本开始初始化的时间。  

上一次客户初始化结束  

指示客户副本结束初始化的时间。  



解决常见复制冲突


多原版复制使用松散一致性复制模型。这就意味着可在不同服务器上更改同一条目。当两个服务器之间进行复制时,需要解决有冲突的更改内容。大多数情况下,根据与每台服务器上的更改相关联的时间戳,系统可以自动解决有冲突的更改。最近发生的更改具有优先性。

但有些情况下则需要人为干预来解决更改冲突问题。更改冲突无法由复制过程自动解决的条目中包含冲突标记属性 nsds5ReplConflictnsdsReplConflict 属性是操作属性。它可以简化对包含该属性的条目的搜索过程。

例如,可以使用如下 ldapmodify 命令:

% ldapsearch -D adminDN -w passwd \
-b "dc=siroe,dc=com" "nsds5ReplConflict=*"

请注意,默认情况下创建 nsds5ReplConflict 属性的索引。

本部分介绍下列冲突解决过程的步骤:


解决命名冲突

当在不同服务器上创建具有相同 DN 的两个条目时,自动解决冲突过程将在复制期间重命名后一条目,方法是在 DN 中包含条目的唯一标识符。每个目录项都包括由操作属性 nsuniqueid 所给的唯一标识符。出现命名冲突时,该唯一性 ID 将被添加到非唯一性 DN 中。

例如,条目 uid=adamss,ou=people,dc=siroe,dc=com 于时间 t1 在服务器 A 上创建,于时间 t2 在服务器 B 上创建,且 t2 大于(迟于)t1。复制后,服务器 A 和服务器 B 都拥有以下条目:

  • uid=adamss,ou=people,dc=siroe,dc=com(t1 时创建)

  • nsuniqueid=66446001-1dd211b2+uid=adamss,dc=siroe,dc=com(t2 时创建)

第二个条目需要以具有唯一性 DN 为原则而进行重命名。重命名过程与命名属性是单值还是多值有关。每种过程均说明如下。


重命名具有多值命名属性的条目

要重命名具有多值命名属性的条目:

  1. 使用命名属性的新值重命名条目,同时保持原 RDN。例如:

    prompt% ldapmodify -D adminDN -w passwd

    >dn: nsuniqueid=66446001-1dd211b2+uid=adamss,dc=Siroe,dc=com
    >changetype: modrdn
    >newrdn: uid=NewValue
    >deleteoldrdn: 0

  2. 删除命名属性的原 RDN 值及冲突标记属性。例如:

    prompt% ldapmodify -D adminDN -w passwd

    >dn: uid=NewValue,dc=Siroe,dc=com
    >changetype: modify
    >delete: uid>uid: adamss

    ->delete: nsds5ReplConflict
    -


    注意 这是一个包含两个步骤的过程,因为无法删除唯一标识符属性 nsuniqueid


有关 ldapmodify 命令的详细信息,请参阅第 51 页上的“从命令行管理条目”iPlanet Directory Server 配置、命令和文件参考指南


重命名具有单值命名属性的条目

要重命名具有单值命名属性的条目:

  1. 使用不同的命名属性重命名条目,同时保持原 RDN。例如:

    prompt% ldapmodify -D adminDN -w passwd

    >dn: nsuniqueid=66446001-1dd211b2+dc=pubs,dc=Siroe,dc=com
    >changetype: modrdn
    >newrdn: cn=TempValue
    >deleteoldrdn: 0

  2. 删除命名属性的原 RDN 值及冲突标记属性。例如:

    prompt% ldapmodify -D adminDN -w passwd

    >dn: cn=TempValue,dc=Siroe,dc=com
    >changetype: modify
    >delete: dc>dc: pubs
    -
    >delete: nsds5ReplConflict
    -


    注意 这是一个包含两个步骤的过程,因为无法删除唯一标识符属性 nsuniqueid


  3. 用自己希望的属性-值对来重命名条目。例如:

    prompt% ldapmodify -D adminDN -w passwd

>dn: cn=TempValue,dc=Siroe,dc=com
>changetype: modrdn
>newrdn: dc=NewValue
>deleteoldrdn: 1


通过将 deleteoldrdn 属性设置为 1,即可删除临时属性-值对 cn=TempValue。如果想保持该属性,可将 deleteoldrdn 属性的值设置为 0

有关 ldapmodify 命令的详细信息,请参阅第 51 页上的“从命令行管理条目”


解决孤项冲突

复制删除操作时,如果客户服务器发现要删除的条目有子项,解决冲突的过程就会创建一个紧附项,以避免目录中出现孤项。

同样,复制添加操作时,如果客户服务器找不到父项,解决冲突的过程就会创建一个代表父项的紧附条目,以便使新条目不是孤项。

紧附条目是包含对象类 glueextensibleObject 的临时条目。创建紧附条目的方式有以下几种:

  • 如果解决冲突的过程发现删除的条目具有匹配的唯一标识符,则紧附条目就是该条目的再生条目,外加 glue 对象类和 nsds5ReplConflict 属性。

    这种情况下,您可以修改紧附条目以删除 glue 对象类和 nsds5ReplConflict 属性,从而将条目保持为常规条目,也可以删除紧附条目及其子项。

  • 服务器将创建具有 glueextensibleObject 对象类的最小条目。

    这种情况下,您必须修改条目以使其具有一定的意义,或者删除该条目及其所有子项。


解决潜在的互操作问题

对于依赖属性唯一性的应用程序(例如邮件服务器)而言,为实现互操作性,您最好对包含 nsds5ReplConflict 属性的条目进行访问限制。如果没有限制对这些条目的访问,则需要一个属性的应用程序将同时选择原始条目和包含 nsds5ReplConflict 的冲突解决条目,并导致操作失败。

要限制访问,需要使用下列命令修改授予匿名读取访问权限的默认 ACI:

ldapmodify -h hostname -D "cn=Directory Manager" -w passwd

> dn: dc=siroe,dc=com
> changetype: modify
> delete: aci> aci: (target ="ldap:///dc=siroe,dc=com")(targetattr !="userPassword")(version 3.0;acl "Anonymous read-search access";allow (read, search, compare)(userdn = "ldap:///anyone");)
> -
> add: aci

> aci: (target="ldap:///dc=siroe,dc=com")(targetattr!="userPassword") (targetfilter="(!(nsds5ReplConflict=*))")(version 3.0;acl "Anonymous read-search access";allow (read, search, compare) (userdn="ldap:///anyone");)

> -

新的 ACI 从搜索结果中过滤掉所有包含 nsds5ReplConflict 属性的条目。


上一页      目录      索引      文档主页      下一页     
版权所有 © 2001 Sun Microsystems, Inc.。部分版权所有 © 2001 Netscape Communications Corp.。保留所有权利。

最近更新时间 2002 年 2 月 15 日