|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 | |
第 7 章
移植到 Identity Synchronization for Windows 1 2004Q3本章介绍如何将系统从 Sun Java System Identity Synchronization for Windows 版本 1.0 移植到版本 1 2004Q3。
注意
Identity Synchronization for Windows 版本 1.0 会为您安装 Message Queue,而 Identity Synchronization for Windows 1 2004Q3 则不然。
有关安装说明,请参阅 Sun Java System Message Queue 产品文档。
这些信息被编排在以下各节中:
概述从 Identity Synchronization for Windows 版本 1.0(或版本 1.0 SP1)移植到 1 2004Q3 通过几个重要阶段来完成:
移植准备开始进行移植前,
- 熟悉 Sun Java System Identity Synchronization for Windows 版本 1 2004Q3 的新特性和功能。
- 阅读第 2 章,“准备安装”以获取规划移植过程适用的安装和配置信息。
- 将版本 1.0 部署和配置存档。确保记下所有自定义配置。
- 安排移植。因为移植过程至少需要四个小时,所以您可能希望将移植安排在正常工作时间之外。
如果在将系统从版本 1.0 移植至 1 2004Q3 的过程中用户输入密码或属性更改,Identity Synchronization for Windows 将按如下方式处理这些更改:
- 对于 Active Directory:移植过程中在 Active Directory 上进行的任何密码更改都会在完成移植后通过 Directory Server 插件即时请求的方式进行同步。
- 对于 Directory Server:移植过程中在 Directory Server 上进行的任何密码更改都不会被同步。但在完成移植后,可在 Identity Synchronization for Windows 1 2004Q3 日志中确定受影响的用户。(请参阅检查日志。)
- 对于 Windows NT:移植过程中在 NT 上进行的任何密码更改都不会被同步。
但是,如果使用 forcepwchg 实用程序,则可确定受影响的用户并强制他们再次更改密码。(有关详细信息,请参阅在 Windows NT 上强制执行密码更改和检查日志。)
- 移植过程中(在任意目录源)进行的所有其它属性更改将在完成移植后进行同步。
准备移植您将使用以下一个或多个实用程序从版本 1.0 移植至版本 1 2004Q3:
- export10cnf:独立的实用程序,利用它可从 Identity Synchronization for Windows 1.0 配置创建导出配置文件。(有关详细信息,请参阅导出版本 1.0 配置。)
停止 1.0 同步后更新内容仍保留在 Message Queue 中。继续进行移植前,必须确保 Message Queue 中不存在任何更新。(有关详细信息,请参阅检查未传送的消息。)
- forcepwchg:一种 Windows NT 工具,利用它可确定在移植过程中更改了密码的用户,并强制他们在版本 1 2004Q3 系统就绪时再次更改密码。(移植过程中不捕获在 Windows NT 上进行的密码更改。)(有关详细信息,请参阅在 Windows NT 上强制执行密码更改。)
导出版本 1.0 配置
安装连接器前,可使用 export10cnf 实用程序将现有 1.0 版本配置文件导出为 XML 文件,然后使用 idsync importcnf 命令快速而准确地将该文件导入 1 2004Q3 系统。
提示
虽然使用 Identity Synchronization for Windows 控制台可以手动重新输入 1.0 配置,但是强烈建议您使用 export10cnf 实用程序。如果决定不使用 export10cnf,则将无法保留连接器的状态。
导出版本 1.0 配置具有以下优点:
可在安装 migration 目录下找到 export10cnf 实用程序,不需要其它安装步骤。
使用 export10cnf 实用程序
要将 Identity Synchronization for Windows 配置导出为 XML 文件,请从 migration 目录执行 export10cnf,如下所示:
export10cnf 实用程序与 Identity Synchronization for Windows 命令行实用程序共用相同的公用参数(请参阅公用参数)。唯一专用于 export10cnf 的选项为 -f <filename>。如果操作成功,则实用程序会将当前配置导出到 -f 选项的参数中所指定的文件。
插入明文密码
export10cnf 实用程序不从版本 1.0 配置导出明文密码(出于安全原因)。而是由实用程序在 cleartextPassword 字段的合适位置插入空字符串。例如,
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
必须为导出的配置文件的每个 cleartextPassword 字段(在双引号内)手动输入密码,然后才能将文件导入 Identity Synchronization for Windows 1 2004Q3。(importcnf 验证可避免导入有空密码值的配置文件。)
例如,
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword="mySecretPassword"/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE
FIELD -->
导出配置文件示例
代码示例 7-1 包含一个示例导出配置文件。
在此文件中,
- ad-host.example.com 指 Active Directory 域控制器。
- ds-host.example.com 指运行 Sun Java System Directory Server 的主机。
代码示例 7-1 导出配置文件示例
<SyncScopeDefinitionSet
index="0"
location="cn=users,dc=example,dc=com"
filter=""
creationExpression="cn=%cn%,cn=users,dc=example,dc=com"
sulid="SUL"/>
</ActiveDirectorySource>
<ActiveDirectoryGlobals
flowInboundCreates="true"
flowInboundModifies="true"
flowOutboundCreates="true"
flowOutboundModifies="true">
<AttributeDescription
parent.attr="CreationAttribute"
name="samaccountname"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeMap>
<AttributeDescription
parent.attr="WindowsAttribute"
name="samaccountname"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="SunAttribute"
name="uid"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<AttributeDescription
parent.attr="SignificantAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<SynchronizationHost
hostOrderOfSignificance="1"
hostname="ad-host.example.com"
port="389"
portSSLOption="true"
securePort="636">
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</SynchronizationHost>
<AttributeDescription
parent.attr="CreationAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<TopologyHost
parent.attr="SchemaLocation"
hostname="ad-host.example.com"
port="3268"
portSSLOption="true"
securePort="3269">
<Credentials
parent.attr="Credentials"
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<TopologyHost
parent.attr="HostsTopologyConfiguration"
hostname="ad-host.example.com"
port="3268"
portSSLOption="true"
securePort="3269">
<Credentials
parent.attr="Credentials"
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
</ActiveDirectoryGlobals>
<SunDirectoryGlobals
userObjectClass="inetorgperson"
flowInboundCreates="true"
flowInboundModifies="true"
flowOutboundCreates="true"
flowOutboundModifies="true">
<TopologyHost
parent.attr="SchemaLocation"
hostname="ds-host.example.com"
port="389"
portSSLOption="false"
securePort="636">
<Credentials
parent.attr="Credentials"
userName="cn=directory manager"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<TopologyHost
parent.attr="HostsTopologyConfiguration"
hostname="ds-host.example.com"
port="389"
portSSLOption="false"
securePort="636"><Credentials
parent.attr="Credentials"
userName="cn=directory manager"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<AttributeDescription
parent.attr="SignificantAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="CreationAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="CreationAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</SunDirectoryGlobals>
</ActiveConfiguration>
配置导出完成后,export10cnf 会报告操作结果。如果操作失败,会显示带有错误标识符的相应错误消息。
检查未传送的消息
Identity Synchronization for Windows 1.0 到 1 2004Q3 的移植过程通过保留现有部署中的连接器状态而使系统停机时间最短。但是,这些状态仅反映 Message Queue 接收并确认的上一更改,所以无法获知消息是否已实际传送并应用到目标连接器。
只要 Message Queue 保持不变,此行为就不会出现问题;但在移植过程中(即安装 Message Queue 3.5 SP1 时)会丢失 Message Queue 中的所有消息。
继续进行移植前,必须检验是否现有 Message Queue 的同步主题中没有任何未传送的消息。使用 Identity Synchronization for Windows checktopics 实用程序可以检验是否所有同步主题均为空(且系统处于静止状态)。
使用 checktopics 实用程序
checktopics 实用程序位于 Solaris/SPARC 和 Windows Identity Synchronization for Windows 1 2004Q3 软件包的 migration 目录下。
当运行 checktopics 实用程序时,它将连接到配置目录,该目录中包含有关同步用户列表 (SUL) 及 Message Queue 中使用的当前同步主题名的信息。另外,当运行 checktopics 时,它将查询 Message Queue,以确定每个活动同步主题有多少未解决的消息,然后为您显示此信息。
要执行 checktopics 命令行实用程序:
运行 checktopics 后,请查看终端上的消息:
清除消息
如果任何一个活动同步主题有未解决的消息,可按以下步骤清除这些消息:
在 Windows NT 上强制执行密码更改
在 Windows NT 上,移植过程中不对密码更改进行监控且不捕获新密码值。因此,无法在完成移植后确定新密码值。
移植至 1 2004Q3 后,并不是要求所有用户都更改密码,而是可使用 forcepwchg 命令行实用程序要求所有在移植过程中更改了密码的用户更改密码。
可在 Windows 的 migration 目录下找到 forcepwchg 实用程序。从该目录直接执行 forcepwchg,无需执行其它安装步骤。
必须在安装了 NT 组件(连接器、Change Detector DLL 及 Password Filter DLL)的“主域控制器”(PDC) 主机上运行 forcepwchg - 不能远程运行 forcepwchg 。
forcepwchg 实用程序还将打印出它尝试移植的帐户名(每行一个名称)。如果移植过程中出错,则该错误会在移植最后一个打印出来的用户帐户时出现。
移植系统本节说明如何将单主机部署移植至版本 1 2004Q3。在单主机部署中,所有 Identity Synchronization for Windows 组件均安装在单个主机(Windows 2000 Server、Solaris 版本 8 或 9 或 SPARC)上,具体如下:
下图说明移植过程,并可充当随后移植说明的补充清单。
图 7-1 移植单主机部署
准备移植
按以下步骤准备从 Identity Synchronization for Windows 版本 1.0 移植至版本 1 2004Q3:
- 出现命令提示符后:
- 将版本 1.0 配置设置导出到 XML 文件。如使用 export10cnf 实用程序所述,从 migration 目录执行 export10cnf。例如:
java -jar export10cnf.jar -D “cn=directory manager” -w - -s “dc=example,dc=com” -q - -f export.cfg
- 将密码添加到导出的 XML 文件。
在导出的配置文件的每个 cleartextPassword 字段中的双引号内输入密码(请参阅插入明文密码)。
- 按启动和停止同步中所述方法停止同步。
- 检验系统是否处于静止状态。如使用 checktopics 实用程序所述,从 migration 目录执行 checktopics。
例如:
java -jar checktopics.jar -D “cn=directory manager” -w - -s “dc=example,dc=com” -q -
- 按启动和停止服务中所述方法停止 Identity Synchronization for Windows 服务(守护进程)。
- 仅在 Windows NT 上 - 停止 Sun One NT ChangeDetector Service。
可从命令行键入以下内容停止服务net stop “Sun One NT ChangeDetector Service”
- 仅在 Windows NT 上 - 按如下步骤保存 NT ChangeDetector Service 计数器:
- 通过从现有 1.0 安装树备份 persist 和 etc 目录来保存连接器状态。
- 启动 Identity Synchronization for Windows 服务(请参阅(详细信息...))。
卸载 Identity Synchronization for Windows
注意
如果其它应用程序(非 Identity Synchronization for Windows 1.0)未注册使用 SUNWjss 软件包,Identity Synchronization for Windows 1.0 卸载程序会将该软件包删除。特别是在 Solaris 机器上安装了压缩版的 Directory Server 5.2.2 时,更会出现这种情况,此时卸载程序会从 /usr/share/lib/mps/secv1 删除 jss3.jar 文件。
如果在移植到 Identity Synchronization for Windows 11 2004Q3 时遇到这种情况,安装程序会报告缺少必需文件,并将文件名记录到安装日志中。出现这种情况时,必须重新安装必需的补丁程序(请参阅 Sun Java System 软件要求)并重新启动安装程序。
完成准备步骤后,即可开始卸载 Identity Synchronization for Windows 版本 1.0(或 1.0 SP1),具体如下:
- 手动卸载 Directory Server 插件,然后重新启动每个安装了“插件”的 Directory Server。
- 在每个安装有“插件”的 Directory Server 上执行以下步骤:
- 将目录更改 (cd) 为 <server_root>\isw-<hostname>,然后使用 Identity Synchronization for Windows 1.0 卸载程序卸载版本 1.0/1.0 SP1“连接器”和“核心”组件。
- 按以下步骤从产品注册表文件中删除与 Identity Synchronization for Windows 相关的条目:
- 备份文件副本(位于):
- 要从产品注册表文件中删除与 Identity Synchronization for Windows 相关的条目,请按从 Solaris 手动卸载 1.0 核心和实例的步骤 6 中的说明操作。
- 仅在 Windows 中 - 卸载“核心”后,重新启动计算机。
注意
如果卸载因某种原因失败,则必须手动卸载 Identity Synchronization for Windows 组件。如果 1.0 卸载失败应采取何种措施中提供了说明。
- 仅在 Windows 中 - 检验 Identity Synchronization for Windows 是否正在运行。如有必要,可从命令行键入以下内容停止服务
net stop “Sun ONE Identity Synchronization for Windows”
如果在完成卸载后此服务继续运行,会导致共享冲突,从而阻止您删除该实例目录。
- 删除 Identity Synchronization for Windows 实例目录 (isw-<hostname>)。
安装或升级相关产品
按以下步骤升级 Java Runtime Environment、安装 Message Queue 和升级 Directory Server:
- 在每台安装了 Identity Synchronization for Windows 组件的主机(Windows NT 除外)上升级 Java 2 Runtime Environment(或 Java 2 SDK)。(所需的最低版本为 1.4.2_04。)
- Java 2 SDK:http://java.sun.com/j2se/1.4.2/install.html
- Java 2 Runtime Environment:http://java.sun.com/j2se/1.4.2/jre/install.html
- 使用《Sun Java System Message Queue 3.5 SP1 Installation Guide》中提供的说明安装 Message Queue 3.5 SP1。
- 使用《Sun Java System Directory Server 5 2004Q2 Installation and Migration Guide》中提供的说明,将 Directory Server 升级至版本 5.2 SP2,可从以下网址获得该指南:
http://docs.sun.com/db/coll/DirectoryServer_04q2
Directory Server 升级将保留当前的 Directory Server 配置和数据库。
安装 Identity Synchronization for Windows 1 2004Q3
按照以下步骤安装 Identity Synchronization for Windows 1 2004Q3 组件:
- 安装 Identity Synchronization for Windows 1 2004Q3 核心。(请参阅安装核心)
- 按如下步骤对 Directory Server 执行 idsync prepds,以更新模式。
- 在 Solaris 中:键入 cd /opt/SUNWisw/bin
然后键入:idsync prepds <arguments>- 在 Windows 中:键入 cd \<serverroot>\isw-<hostname>\bin
然后键入:idsync prepds <arguments>有关 idsync prepds 的详细信息,请参阅附录 A,“使用 Identity Synchronization for Windows 命令行实用程序”。
- 通过键入以下内容导入版本 1.0 配置 XML 文件
idsync importcnf <arguments>
注意
如果该程序在输入配置文件中检测到错误,则会出现错误。Identity Synchronization for Windows 会中止 importcnf 进程,并提供必要的信息以更正错误。
有关使用 idsync importcnf 的详细信息,请参阅附录 A 中的使用 importcnf。
- 安装 Identity Synchronization for Windows 1 2004Q3 连接器(请参阅安装连接器)。
- 安装“Identity Synchronization for Windows 1 2004Q3 Directory Server 插件”(安装 Directory Server 插件)。
- 按启动和停止服务中所述方法停止 Identity Synchronization for Windows 服务(守护进程)。
- 仅在 Windows NT 上 — 停止 Sun Java™ System NT Change Detector 服务。可从命令行键入以下内容停止服务
net stop “Sun Java(TM) System NT Change Detector”
- 仅在 Windows NT 上 — 恢复 NT ChangeDetector Service 计数器:
- 仅在 Windows NT 上 — 启动 Sun Java™ System NT Change Detector 服务。可从命令行键入以下内容启动该服务
net start “Sun Java(TM) System NT Change Detector”
- 从实例目录删除 1 2004Q3 persist 和 etc 目录(及其全部内容),并恢复在准备移植中备份的版本 1.0(或 1.0 SP1)persist 和 etc 目录。
- 启动 Identity Synchronization for Windows 服务(请参阅(详细信息...))。
- 按启动和停止同步中所述方法启动同步。
- 检查中心审计日志以验证没有警告消息。
如果 1.0 卸载失败应采取何种措施如果 1 2004Q3 版本安装程序找到 1.0 版本的残存组件,则 1 2004Q3 安装将失败。因此,在安装版本 1 2004Q3 前,应检验是否从系统中彻底删除了所有 1.0 版本的组件。
如果卸载程序未卸载所有版本 1.0/1.0 SP1 组件,则必须手动清除 Identity Synchronization for Windows 产品注册表和 Solaris 软件包。
以下三个小节中提供了手动卸载 Identity Synchronization for Windows 版本 1.0 的详细说明:
注意
本节中提供的说明仅适用于 Identity Synchronization for Windows 版本 1.0 的卸载。
除非 Identity Synchronization for Windows 卸载程序失败,否则不要使用以下各节中介绍的手动卸载过程。
从 Solaris 手动卸载 1.0 核心和实例
按照本节介绍的说明从 Solaris 机器手动卸载“核心”。
注意
在本节中,将采用下列格式描述 Identity Synchronization for Windows 位置:
<serverroot>/isw-<hostname>
其中,<serverroot> 表示 Identity Synchronization for Windows 安装位置的父目录。
例如,如果在 /var/Sun/mps/isw-<example> 下安装 Identity Synchronization for Windows,<serverroot> 将是 /var/Sun/mps。
- 通过在终端窗口中键入 /etc/init.d/isw stop 停止所有 Identity Synchronization for Windows Java 进程。
如果上述命令不停止所有 Java 进程,请键入以下内容:
/usr/ucb/ps -gauxwww | grep java
kill -s SIGTERM <上述命令的进程 ID>
- 按如下步骤停止 Message Queue:
- 在提示符后键入下列命令以停止 Message Queue 代理程序:
/etc/init.d/imq stop
- 要停止任何仍在进行的 imq 进程,请键入:
* ps -ef | grep imqbroker
* kill -s SIGTERM <上述命令的进程 ID>
- 使用以下方法之一卸载代理程序软件包和目录:
- 使用 Message Queue 代理程序卸载脚本(位于安装“核心”的主机的 Identity Synchronization for Windows 实例目录下)卸载代理程序。键入以下内容:
/<serverroot>/isw-<hostname>/imq_uninstall
- 按如下步骤手动卸载软件包和目录:
使用 pkgrm:命令删除以下软件包:
SUNWaclg
SUNWiqum
SUNWiqjx
SUNWiqlen
SUNWxsrt
SUNWiqu
SUNWjaf
SUNWiqfs
SUNWjhrt
SUNWiqdoc
SUNWiquc
SUNWiqsup
SUNWiqr
SUNWjmail
使用 rm -rf 命令删除以下目录:
- 要删除 Identity Synchronization for Windows 1.0 Solaris 软件包,
请为表 7-1 中列出的每个软件包运行 pkgrm <packageName>。
(例如,pkgrm SUNWidscm SUNWidscn SUNWidscr SUNWidsct SUNWidsoc)
表 7-1 要删除的 Solaris 软件包
软件包名称
说明
SUNWidscm
Sun ONE Directory Server Identity Synchronization 的“核心”组件和“连接器”软件包。
SUNWidscn
Sun ONE Directory Server Identity Synchronization 的“控制台”帮助文件软件包。
SUNWidscr
Sun ONE Directory Server Identity Synchronization 的核心组件软件包。
SUNWidsct
Sun ONE Directory Server Identity Synchronization 的连接器软件包。
SUNWidsoc
Sun ONE Directory Server Identity Synchronization 的对象高速缓存软件包。
要检验是否删除了所有软件包,请键入:
pkginfo | grep -i "Identity Synchronization"
- 按如下步骤删除 Director Server 插件:
- 备份(复制并重命名)位于 /var/sadm/install/productregistry 下的当前 productregistry 文件。
- 手动编辑 /var/sadm/install/ 下的 productregistry 文件,从中删除下列条目(如果存在):
注意
- 为获得最佳效果,请使用 XML 编辑器。或者,可使用标准文本编辑器。
- 以下组件中的某些组件可能不包括在文件中。
- 必须删除开始标记 (<compid>)、结束标记 (<\compid>) 及两个标记之间的所有内容。在以下列表中,用省略号表示这些标记中的内容,包括任何其它文本和/或标记。(请参阅(详细信息...)的示例。)
- <compid>Identity Synchronization for Windows .. . </compid>
- <compid>Core .. . </compid>
- <compid>unistaller .. . </compid>
- <compid>wpsyncwatchdog .. . </compid>
- <compid>setenv .. . </compid>
- <compid>Create DIT .. . </compid>
- <compid>Extend Schema .. . </compid>
- <compid>resources .. . </compid>
- <compid>CoreComponents .. . </compid>
- <compid>Connector .. . </compid>
- <compid>DSConnector .. . </compid>
- <compid>Directory Server Plugin .. . </compid>
- <compid>DSSubcomponents .. . </compid>
- <compid>ObjectCache .. . </compid>
- <compid>ObjectCacheDLLs .. . </compid>
- <compid>SUNWidscr .. . </compid>
- <compid>SUNWidscm .. . </compid>
- <compid>SUNWidsct .. . </compid>
- <compid>SUNWidscn .. . </compid>
- <compid>SUNWidsoc .. . </compid>
- <compid>ADConnector .. . </compid>
以下为 <compid> 标记示例。删除 <compid>、</compid> 以及两者之间的所有文本和标记。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- 删除以下 Identity Synchronization for Windows 目录和文件:
- 按如下步骤清除配置目录:
- 对安装了 Identity Synchronization for Windows 核心的配置目录运行以下 ldapsearch 命令,以找到 Identity Synchronization for Windows 控制台子树:
ldapsearch -D "cn=directory manager" -w <my_password> -b o=netscaperoot "(nsnickname=isw)" dn
注意
ldapsearch 位于 Directory Server 的 <serverroot>/shared/bin/ldapsearch 下
例如,/var/Sun/mps/shared/bin/ldapsearch
产生的条目应类似于以下内容(请注意条目始终以 o=NetscapeRoot 结束):
"cn=Sun ONE Identity Synchronization for Windows,cn=server group, cn=myhost.mydomain.com,ou=mydomain.com,o=NetscapeRoot"
- 使用“Directory Server 控制台”删除 Identity Synchronization for Windows 控制台子树及其下面的所有子树。
- 按如下步骤清除 Identity Synchronization for Windows 配置注册表:
- 运行以下 ldapsearch 命令,以在 Directory Server 中找到 Identity Synchronization for Windows 配置注册表:
ldapsearch -D "cn=directory manager" -w <my_password> -b "dc=my,dc=domain" "(&(objectclass=iplanetservice)(ou=IdentitySynchronization))" dn
产生的条目应类似于以下内容:
"ou=IdentitySynchronization,ou=Services,dc=my,dc=domain"
- 使用“Directory Server 控制台”删除 Identity Synchronization for Windows 配置注册表及其下面的所有子树。
- 按如下步骤清除其它所有与控制台相关的文件:
从 Windows 2000 手动卸载 1.0 核心和实例
使用本节中提供的说明可从 Windows 2000 计算机手动卸载“核心”。
注意
在本节中,将采用下列格式描述 Identity Synchronization for Windows 位置:
<serverroot>\isw-<hostname>
其中,<serverroot> 表示 Identity Synchronization for Windows 安装位置的父目录。
例如,如果在 C:\Program Files\Sun\mps\isw-example 中安装了 Identity Synchronization for Windows,则 <serverroot> 应为 C:\Program Files\Sun\mps。
- 使用以下方法之一停止所有 Identity Synchronization for Windows Java 进程:
- 使用以下方法之一停止 Message Queue(仅限“核心”卸载):
- 按如下步骤删除 Director Server 插件:
- 打开“命令提示符”窗口,然后键入 regedit 以打开“注册表编辑器”窗口。
要点 – 继续进行步骤 5 前请备份当前注册表文件。
- 在“注册表编辑器”中,从菜单条中选择“编辑”>“删除”,并从“Windows 注册表”中删除以下 Identity Synchronization for Windows 注册表主键:
- 备份(复制并重命名)位于 C:\WINNT\system32 中的当前 productregistry 文件。
- 编辑 C:\WINNT\system32 \productregistry 文件,从中删除下列标记:
注意
- 为获得最佳效果,请使用 XML 编辑器。或者,可使用标准文本编辑器。
- 以下组件中的某些组件可能不包括在文件中。
- 必须删除开始标记 (<compid>)、结束标记 (<\compid>) 及两个标记之间的所有内容。在以下列表中,用省略号表示这些标记中的内容,包括任何其它文本和/或标记。(请参阅(详细信息...)上的示例。)
- <compid>Identity Synchronization for Windows .. . </compid>
- <compid>Core .. . </compid>
- <compid>unistaller .. . </compid>
- <compid>wpsyncwatchdog .. . </compid>
- <compid>setenv .. . </compid>
- <compid>Create DIT .. . </compid>
- <compid>Extend Schema .. . </compid>
- <compid>resources .. . </compid>
- <compid>CoreComponents .. . </compid>
- <compid>Connector .. . </compid>
- <compid>DSConnector .. . </compid>
- <compid>Directory Server Plugin .. . </compid>
- <compid>DSSubcomponents .. . </compid>
- <compid>ObjectCache .. . </compid>
- <compid>ObjectCacheDLLs .. . </compid>
- <compid>ADConnector .. . </compid>
以下为 <compid> 标记示例。删除 <compid>、</compid> 以及两者之间的所有文本和标记。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- 删除位于 <serverroot>\isw-<hostname> 下的 Identity Synchronization for Windows 安装文件夹。
例如,C:\Program Files\Sun\mps\isw-example
- 按如下步骤清除配置目录:
- 在“命令提示符”窗口中,对安装了 Identity Synchronization for Windows 核心的配置目录运行 ldapsearch 命令,以找到 Identity Synchronization for Windows 控制台子树。
注意
ldapsearch 位于 <serverroot>\shared\bin\ldapsearch 下。
例如,
C:\Program Files\Sun\mps\shared\bin\ldapsearch
ldapsearch -D "cn=directory manager" -w <my_password> -b o=netscaperoot "(nsnickname=isw)" dn
产生的条目应类似于以下内容(请注意条目始终以 o=NetscapeRoot 结束):
"cn=Sun ONE Identity Synchronization for Windows,cn=server group, cn=myhost.mydomain.com,ou=mydomain.com,o=NetscapeRoot"
- 使用“Directory Server 控制台”删除查找到的 Identity Synchronization for Windows 控制台子树及其下面的所有子树。
- 按以下步骤清除 Identity Synchronization for Windows 配置目录(也称作配置注册表):
- 在“命令提示符”窗口中,运行下列 ldapsearch 命令,以在 Directory Server 中找到 Identity Synchronization for Windows 配置目录:
ldapsearch -D "cn=directory manager" -w <my_password> -b "dc=my,dc=domain" "(&(objectclass=iplanetservice)(ou=IdentitySynchronization))" dn
产生的条目应类似于以下内容:
"ou=IdentitySynchronization,ou=Services,dc=my,dc=domain"
- 使用“Directory Server 控制台”删除查找到的配置目录子树及其下面的所有子树。
- 按如下步骤清除其它所有与控制台相关的文件:
- 重新启动机器以使所有更改生效。
从 Windows NT 手动卸载 1.0 实例
使用本节中提供的说明可从 Windows NT 机器手动卸载实例。
注意
在本节中,将采用下列格式描述 Identity Synchronization for Windows 位置:
<serverroot>\isw-<hostname>
其中,<serverroot> 表示 Identity Synchronization for Windows 安装位置的父目录。例如,如果在
C:\Program Files\Sun\mps\isw-example 下安装了 Identity Synchronization for Windows,则 <serverroot> 应为 C:\Program Files\Sun\mps。
- 使用以下方法之一停止所有 Identity Synchronization for Windows Java 进程(“核心”和实例安装):
- 使用以下方法之一停止 Change Detector Service:
- 重新启动 Windows NT 计算机。
- 必须删除 Identity Synchronization for Windows 注册表主键。打开“命令提示符”窗口,然后键入 regedt32 以打开“注册表编辑器”窗口。
警告
不要使用 regedit,因为该程序不允许编辑多值字符串。
继续进行步骤 5 之前请务必备份当前 Windows 注册表文件。
- 在“注册表编辑器”中,从菜单条中选择“编辑”>“删除”,并从“注册表”中删除以下 Identity Synchronization for Windows 注册表主键:
- 使用 regedt32(不要使用 regedit)修改(不要删除)以下注册表主键:
- 备份(复制并重命名)位于 C:\WINNT\system32 中的当前 productregistry 文件。
- 编辑 C:\WINNT\system32 productregistry 文件,从中删除下列标记:
注意
- 为获得最佳效果,请使用 XML 编辑器。或者,可使用标准文本编辑器。
- 以下组件中的某些组件可能不包括在文件中。
- 必须删除开始标记 (<compid>)、结束标记 (<\compid>) 及两个标记之间的所有内容。在以下列表中,用省略号表示这些标记中的内容,包括任何其它文本和/或标记。(请参阅(详细信息...)上的示例。)
- <compid>Identity Synchronization for Windows .. . </compid>
- <compid>Core .. . </compid>
- <compid>uninstaller .. . </compid>
- <compid>wpsyncwatchdog .. . </compid>
- <compid>setenv .. . </compid>
- <compid>Create DIT .. . </compid>
- <compid>Extend Schema .. . </compid>
- <compid>resources .. . </compid>
- <compid>CoreComponents .. . </compid>
- <compid>Connector .. . </compid>
- <compid>DSConnector .. . </compid>
- <compid>Directory Server Plugin .. . </compid>
- <compid>DSSubcomponents .. . </compid>
- <compid>ObjectCache .. . </compid>
- <compid>ObjectCacheDLLs .. . </compid>
- <compid>ADConnector .. . </compid>
以下为 <compid> 标记示例。删除 <compid>、</compid> 以及两者之间的所有文本和标记。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- 删除位于 <serverroot>\isw-<hostname> 下的 Identity Synchronization for Windows 安装文件夹。
例如,C:\Program Files\Sun\mps\isw-example
- 删除 Password Filter DLL。
在 C:\winnt\system32 文件夹中找到 passflt.dll 文件,然后将该文件重命名为 passflt.dll.old。
- 重新启动机器以使所有更改生效。
其它移植方案因为可能存在其它部署拓扑,所以具体移植过程可能与所描述的单主机部署过程有所不同。
本节为您介绍两种备用部署方案,并介绍如何在每种方案中进行移植。示例部署方案包括:
多主复制部署
在多主复制 (MMR) 部署中,两个 Directory Server 实例安装在不同的主机上。可以在不同的操作系统上运行主机,但在本方案中,两台主机均在同一操作系统中运行。
表 7-2 说明 Identity Synchronization for Windows 组件将如何在这两台主机之间分布。
表 7-2 多主复制部署中的组件分布
主机 1
主机 2
作为已同步用户的备用主服务器的 Directory Server(一个实例)
作为已同步用户的首选主服务器的 Directory Server(一个实例)
核心(Message Queue、中心记录器、系统管理器和控制台)
Directory Server 插件
Active Directory Connector
Directory Server Connector
Directory Server 插件
移植过程使即时请求密码同步在首选主服务器或备用主服务器上持续运行。
注意
如果两台主机均在 Solaris 操作系统中运行,则仅在进行同步时才需要使用第三台运行 Windows 2000 并装有 Active Directory 的主机。(第三台主机上不会安装任何组件。)
下图说明在 MMR 部署中移植 Identity Synchronization for Windows 的过程:
图 7-2 移植多主复制部署
使用 Windows NT 的多主机部署
在本部署方案中将使用三台主机:
表 7-3 说明 Identity Synchronization for Windows 组件将如何在这三台主机之间分布。
表 7-3 多主机部署
主机 1
主机 2
主机 3
带有配置信息库的 Directory Server
用于已同步用户的 Directory Server
Windows NT Connector
核心(Message Queue、中心记录器、系统管理器和控制台)
Directory Server Connector
Windows NT 子组件(Password Filter DLL 和 Change Detector Service)
Active Directory Connector
Directory Server 插件
如同上一方案,主机 1 和主机 2 在相同的操作系统中运行。
注意
如果这两台主机均在 Solaris 操作系统中运行,则仅在进行同步时才需要使用第四台运行 Windows 2000 并装有 Active Directory 的主机。(第四台主机上不会安装任何组件。)
图 7-3 说明为多主机部署移植 Identity Synchronization for Windows 的过程:
图 7-3 使用 Windows NT 移植多主机部署
检查日志移植到版本 1 2004Q3 后,请在中心审计日志中查找指示问题的消息,尤其是移植过程中密码更改可能已丢失的 Directory Server 用户,将产生类似于以下内容的消息:
[16/Apr/2004:14:23:41.029 -0500] WARNING 14 CNN101
ds-connector-host.example.com "Unable to obtain password of user cn=JohnSmith,ou=people,dc=example,dc=com, because the password was encoded by a previous installation of Identity Synchronization for Windows Directory Server Plugin.The password of this user cannot be synchronized at this time.Update the password of this user again in the Directory Server."
在 Identity Synchronization for Windows 1 2004Q3 中启动同步后才能看到此日志消息,这便是在移植过程的最后一个步骤检查日志的原因所在。
