Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 

第 9 章
故障排除

本章介绍的内容可帮助您解决在使用 Identity Synchronization for Windows 过程中可能会遇到的问题。内容具体安排如下:


故障排除清单


注意

管理员:排除故障时,请调整日志级别(如配置日志文件中所述),以确保日志反映出可能导致问题的所有事件。

直到您将日志级别调整为“详细”或更高级别时,才会将某些事件(如因用户未包括在 SUL 中而致使程序未能同步用户更改)包括在日志文件中。在所有 idsync resync 操作期间,应将日志级别设为“信息”。

在安装和配置 Identity Synchronization for Windows 时,idsync printstat 命令是一个很有用的工具。运行 printstat(请参阅使用 printstat)后,将显示要完成安装和配置过程所必须执行的其余步骤的列表。


  1. 中心 error.log 中是否报告有任何问题?
  2. isw-<hostname>/logs/central/error.log

    几乎所有错误都会在中心错误日志文件中报告。而且,通常还可在 audit.log 文件中获取有关任何错误的附加信息。为使相关日志条目易于关联,audit.log 文件还包括错误日志中的所有条目。

  3. “发行说明”中提及了许多已知问题。是否对此问题进行了相应说明?
  4. 安装是否是在已彻底卸载的机器上进行的?如果未彻底卸载先前的配置便重新安装本产品,则可能会出现问题。有关如何清除先前安装的详细说明,请参阅第 8 章,“删除软件”
  5. 是否正确安装了“核心”?如果成功完成了“核心”安装,那么日志文件会存在于 isw-<hostname>/logs/central/ 目录中。
  6. 资源配置期间是否运行了 Directory Server?
  7. 当前是否在运行“核心”(包括 Message Queue 和“系统管理器”)?在 Windows 中,请检查相应的服务名称。在 Solaris 中,请检查相应的守护进程名称。使用 idsync printstat 命令检验 Message Queue 和“系统管理器”是否处于活动状态。
  8. 是否成功保存了配置?如果 idsync printstat 命令列出连接器,则表明成功保存了配置。
  9. 是否安装了全部连接器?必须为要同步的每个目录源安装一个连接器。
  10. 是否安装了全部子组件?Directory Server Connector 和 Windows NT Connector 要求在安装“连接器”后安装子组件。必须在每个 Directory Server 副本上安装“Directory Server 插件”。
  11. 是否遵循了安装后步骤?安装“Directory Server 插件”后必须重新启动 Directory Server。安装 Windows NT 子组件后,必须重新启动“Windows NT 主域控制器”。
  12. 是从“控制台”还是命令行开始的同步?
  13. 是否所有连接器都在运行?
  14. 使用“控制台”或 idsync printstat 检验是否所有连接器均处于“正在同步”状态。
  15. 所要同步的目录源是否正在运行?
  16. 使用“控制台”检验是否按预期方向同步修改和/或创建。
  17. 如果只同步存在于一个目录源中的用户,那么是否已使用 idsync resync 命令在另一个目录源中创建了这些用户?

    注意

    只要存在现有用户,就必须运行 idsync resync。如果不重新同步现有用户,则重新同步行为仍处于未定义状态。


  18. 如果同步存在于两个目录源中的用户,那么是否已使用 idsync linkusers 命令链接了这些用户?
  19. 如果从 Active Directory 或 Windows NT 到 Sun Java System Directory Server 创建用户失败,请检验是否将 Directory Server 对象类中的所有强制属性均指定为创建属性,且相应属性的值显示在原始户条目中。
  20. 如果从 Directory Server 到 Windows NT 同步创建并且用户创建成功,但是帐户不可用,请检验用户名是否违反了 Windows NT 的要求。
  21. 例如,如果指定的名称超过 Windows NT 的最大允许长度限制,则虽然可在 NT 上创建用户,但须重命名该用户(“用户”>“重命名”)后方可使用和编辑。

  22. 为使 Windows NT SAM Change Detector 子组件有效,必须打开 NT 审计日志。选择“开始”>“程序”>“管理工具”>“用户管理器”,然后选择“策略”>“审核策略”。
    选择“审核下列事件”,然后选中“用户和组管理”的“成功”和“失败”框。
  23. 在“事件查看器”>“事件日志覆盖”中选择“事件日志设置”,然后选择“视需要覆盖事件”。

  24. 未能同步的用户是否在“同步用户列表”中?例如,它们是否与“同步用户列表”的基本 DN 及过滤器匹配?在包含 Active Directory 的部署中,如果 Sun Java System Directory Server 条目不在任何“同步用户列表”中,则即时请求密码同步将失败且不显示任何提示信息。出现这种情况通常是因为“同步用户列表”上的过滤器不正确。
  25. 是否更改了同步设置?如果同步设置由仅将用户从 Active Directory 同步到 Sun Java System Directory Server 更改为从 Directory Server 同步到 Active Directory,则必须将 Active Directory SSL CA 证书添加到连接器的证书数据库。idsync certinfo 命令根据当前 SSL 设置报告必须安装的 SSL 证书。
  26. 是否正确指定了所有主机名且在 DNS 中可解析?Active Directory 域控制器应能够从运行 Active Directory Connector 的机器和运行“Sun Java System Directory Server 插件”的机器上进行 DNS 解析。
  27. Active Directory 域控制器的 IP 地址是否解析为连接器用于与之建立连接的同一名称?
  28. 源连接器是否检测对用户进行的更改?使用中心 audit.log 可确定添加或修改了用户的目录源的连接器是否检测修改。
  29. 目标连接器是否处理此修改?
  30. 是否配置了多个“同步用户列表”?如果是,这些列表是否存在冲突?应使用“控制台”将较为具体的“同步用户列表”排列在不太具体的“同步用户列表”前面。
  31. 如果将流动设为双向或从 Sun 流动到 Windows,且部署中存在 Active Directory 数据源,那么是否将连接器配置为使用 SSL 通信?
  32. 在 Solaris 环境中,如果疑有内存问题,请检查各个进程。要查看哪些组件正在作为不同的进程运行,请输入
  33. /usr/ucb/ps -gauxwww | grep com.sun.directory.wps

    输出结果将列出全部详细信息,包括连接器 ID、系统管理器和中心记录器。这非常有助于查看是否有任何进程正在占用过多内存。

  34. 如果要创建或编辑 Sun Java System 目录源,而 Directory Server 未出现在“选择已知服务器”下拉列表中,请检查 Directory Server 是否正在运行。只有正在运行的 Directory Server 才会出现在可用主机下拉列表中。
  35. 如果所述服务器暂时处于关闭状态,请在“通过提供主机名和端口指定服务器”字段中键入主机和端口。


    注意

    Identity Synchronization for Windows 默认情况下使用短主机名;但默认主机名可能不适用于您的配置。建议在系统要求您提供主机名时使用全限定名。


  36. 运行卸载程序时是否接收到以下错误?
  37. ./runInstaller.sh

    IOException while making /tmp/SolarisNativeToolkit_5.5.1_1 executable:java.io.IOException:Not enough space

    java.io.IOException:Not enough space

    增大安装在 /tmp 下的交换文件的容量。


排除连接器故障

利用本节提供的信息排除连接器故障。内容具体安排如下:

如何确定管理目录源的连接器的 ID

可使用以下方法之一确定连接器 ID:

使用中心日志

可通过搜索中心 audit.log 来确定要同步的目录源的连接器 ID。启动时,中心记录器会记录每个连接器的 ID 及其管理的目录源。查找启动标题的最后一个实例,以获取最新信息。

例如,在下列日志消息中有两个连接器:

使用 idsync printstat

也可使用 idsync printstat 命令获取连接器 ID 和状态(请参阅使用 printstat)。

此命令的示例输出如下:

Connector ID: CNN100
   Type: Active Directory
   Manages: airius.com (ldaps://host2.airius.com:636)
   State: READY

Connector ID: CNN101
   Type: Sun Java System Directory
   Manages: dc=airius,dc=com (ldap://host1.airius.com:389)
   State: READY

Sun Java System Message Queue Status: Started

Checking the System Manager status over the Sun Java System Message Queue.

System Manager Status: Started

SUCCESS

如何确定连接器的当前状态

可使用以下方法确定同步所涉及的连接器的当前状态:使用“控制台”中的“状态”窗格,使用 idsync printstat 命令(如前所述),或在中心 audit.log 中查找。

audit.log 中搜索报告连接器状态的最后一条消息。
例如,在下面的日志消息中,可看到连接器 CNN101 处于“就绪”状态。

[2003/03/19 10:20:16.889 -0600] INFO 13 SysMgr_100 host1 "Connector [CNN101] is now in state "READY"."

表 9-1 对各种连接器状态进行了说明。

表 9-1 连接器状态含义

状态

含义

尚未安装

尚未安装连接器。

已安装

已安装连接器,但该连接器尚未接收到其配置。

就绪

已安装连接器且已接收到其配置,但尚未启动同步。

正在同步

已安装连接器并接收到其配置,且已尝试启动同步。

连接器处于“尚未安装”状态时应采取的操作

安装连接器。

连接器安装失败但无法重新安装时应采取的操作

如果连接器安装失败,但 Identity Synchronization for Windows 安装程序认为已安装该连接器,则安装程序将不允许您重新进行安装。

运行 idsync resetconn(如使用 resetconn 中所述),以将连接器状态重设为“尚未安装”,然后重新安装该连接器。

连接器处于“已安装”状态时应采取的操作

如果连接器在较长一段时间内均处于已安装状态,则很可能未运行它,或者它无法与 Message Queue 通信。

在安装连接器的机器上,查看连接器的日志(audit.logerror.log)以查找潜在错误。如果连接器无法连接至 Message Queue,则会在此报告错误。这种情况下,请参阅排除 Message Queue 故障查找可能的原因。

如果审计日志中的最新消息已变得很陈旧,则可能未运行该连接器。请参阅排除组件故障

连接器处于“就绪”状态时应采取的操作

在启动同步、安装全部子组件并将它们连接至连接器前,连接器将保持“就绪”状态。如果尚未启动同步,请使用“控制台”或命令行实用程序进行启动。

如果已启动同步,但某个连接器未进入“正在同步”状态,则可能子组件有问题。请参阅排除子组件故障

连接器处于“正在同步”状态时应采取的操作

如果所有连接器均处于“正在同步”状态,但未同步修改,请检验同步设置是否正确:

Active Directory Connector 无法通过 SSL 与 Active Directory 联系时应采取的操作

如果 Active Directory Connector 无法通过 SSL 与 Active Directory 联系,且随后显示以下错误消息,请重新启动 AD 域控制器。

Failed to open connection to ldaps://server.example.com:636, error(91):Cannot connect to the LDAP server, reason:SSL_ForceHandshake failed:(-5938) Encountered end of file.


排除组件故障

利用本节提供的信息排除组件故障。内容具体安排如下:

在 Solaris 中

命令 /usr/ucb/ps -auxww | grep com.sun.directory.wps 将列出运行的所有 Identity Synchronization for Windows 进程。下表列出了应该运行的进程。

表 9-2 Identity Synchronization for Windows 进程

Java 进程类名

组件

何时运行

com.sun.directory.wps.watchdog.server.WatchDog

系统监视器

始终

com.sun.directory.wps.centrallogger.CentralLoggerManager

中心记录器

仅当安装“核心”后

com.sun.directory.wps.manager.SystemManager

系统管理器

仅当安装“核心”后

com.sun.directory.wps.controller.AgentHarness

连接器

每个已安装的连接器对应一个

如果未运行预期数目的进程,则请发出以下命令重新启动所有 Identity Synchronization for Windows 进程。

# /etc/init.d/isw stop
# /etc/init.d/isw start

如果运行了“监视器”进程,但未运行预期数目的 java.exe 进程,则请参阅“检查 WatchList.properties”一节,以检验是否正确安装了所有组件。

与其它系统组件一样,“Sun Java System Directory Server 插件”通过总线发送由中心记录器管理的日志记录,以便最终用户查看。但是,该“插件”还记录某些可能不通过总线显示的消息(例如当子组件无法联系连接器时)。这种情况下,日志消息只显示在文件系统中类似如下所示的“插件”的 logs 目录中:

<serverroot>/isw-<hostname>/logs/SUBC<id>。

因为该插件与 Directory Server 进程一起运行,所以有可能会出现插件无法向其 logs 目录进行写操作的问题。如果以 logs 目录属主之外的用户身份运行目录服务器,便会出现这种情况。此时,可能有必要使用本机操作系统命令通过更改目录权限或属主明确指定“插件”权限。

在 Windows 中

使用“服务”控制面板,检查是否已启动 Sun Java System Identity Synchronization for Windows 服务。如果未启动此服务,则表明该机器上未运行 Identity Synchronization for Windows,应将其启动。如果已启动此服务,则请使用“任务管理器”检验是否正在运行 pswwatchdog.exe(监视器进程)并且正在运行预期数目的 java.exe 进程:


注意

可能会有其它处于活动状态的 java 进程,如“Directory Server 控制台”。如果未运行 pswwatchdog.exe,则请重新启动“Sun Java System Identity Synchronization for Windows”服务。如果运行了它,但未运行预期数目的 java.exe 进程,则请参阅检查 WatchList.properties,以检验是否正确安装了所有组件。


检查 WatchList.properties

在每台安装有 Identity Synchronization for Windows 组件的机器上,isw-<machine_name>/resources/WatchList.properties 文件将枚举应在该机上运行的组件。process.name[n] 属性用于命名应运行的组件。

在安装有“核心”的机器上,WatchList.properties 将包括“中心记录器”和“系统管理器”的条目:

process.name[1]=Central Logger

process.name[2]=System Manager

在安装有连接器的机器上,WatchList.properties 将包括每个连接器的单独条目。process.name 属性为连接器 ID:

process.name[3]=CNN100

process.name[4]=CNN101

如果 WatchList.properties 中的条目和正在运行的进程不匹配,则请重新启动 Identity Synchronization for Windows 守护进程或服务。

如果 WatchList.properties 中的条目少于预期数目(例如,虽然安装了两个连接器,但只有一个连接器条目),则请检查安装日志,看是否是因安装失败所致。


排除子组件故障

使用以下清单排除部署中的子组件的故障:

  1. 是否安装了所有子组件?
  2. 安装连接器后必须完成子组件安装:

    • 对于 Active Directory Connector,不安装任何子组件。
    • 对于 Sun Java System Directory Connector,必须在要同步的 Sun Java System Directory Server 上安装“Directory Server 插件”。
    • 对于 Windows NT Connector,必须在要同步的每个 Windows NT 域的主域控制器上安装 Windows Change Detector 和 Password Filter 子组件。安装 Windows NT Connector 后,将同时安装这两个子组件。


注意

为使 Windows NT SAM Change Detector 子组件有效,必须打开 NT 审计日志。选择“开始”>“程序”>“管理工具”>“用户管理器”,然后选择“策略”>“审核策略”。选择“审核下列事件”,然后选中“用户和组管理”的“成功”和“失败”框。

在“事件查看器”>“事件日志覆盖”中选择“事件日志设置”,然后选择“视需要覆盖事件”。


  1. 是否遵循了子组件安装后步骤?
  2. 在 Sun Java System Directory Server 上安装“Directory Server 插件”后,必须重新启动服务器。在主域控制器上安装 NT Change Detector 和 Password Filter 后,必须重新启动服务器。

  3. 子组件是否正在运行?
  4. 安装了“插件”的 Directory Server 是否正在运行?安装了 Change Detector 和 Password Filter 的“主域控制器”是否正在运行?

  5. 子组件是否已与连接器建立了网络连接?
  6. 在运行连接器的机器上,通过运行 netstat -n -a 来检验连接器是否在侦听子组件的连接。以下三个示例分别展示了此命令的三种不同结果。(将连接器配置为侦听端口 9999。)

    1. 连接器正在侦听收到的连接,且子组件已成功连接,这些都是预期的结果:
    2. netstat –n –a | grep 9999

            *.9999 *.* 0 0 65536 0 LISTEN

      12.13.1.2.44397 12.13.1.2.9999 73620 0 73620 0 ESTABLISHED

      12.13.1.2.9999 12.13.1.2.44397 73620 0 73620 0 ESTABLISHED

    3. 连接器正在侦听收到的连接,但子组件未进行连接:
    4. # netstat –n –a | grep 9999

           *.9999 *.* 0 0 65536 0 LISTEN

      确定子组件正在运行后,请在子组件的本地日志中查看是否存在潜在问题。

    5. 连接器未侦听收到的连接:
    6. # netstat –n –a | grep 9999

      <no output>

      检验是否指定了正确的端口号。检验连接器是否正在运行且处于“就绪”状态。在连接器的本地日志中查看是否存在潜在问题。


排除 Message Queue 故障

检验 Sun Java System Message Queue 代理程序是否正在运行。向运行 Message Queue 代理程序的机器和端口发出 telnet 命令将返回活动 Message Queue 服务列表:

# telnet localhost 7676

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

101 psw-broker 3.0.1

cluster tcp CLUSTER 32914

admin tcp ADMIN 32912

portmapper tcp PORTMAPPER 7676

ssljms tls NORMAL 32913

jms tcp NORMAL 32911

.

Connection closed by foreign host.

如果 telnet 命令失败,则未运行代理程序或指定了错误的端口。检查代理程序日志中的端口号。在下行中指定代理程序的端口

[13/Mar/2003:18:17:09 CST] [B1004]:“Starting the portmapper service using tcp [ 7676, 50 ] with min threads 1 and max threads of 1”

如果未运行代理程序,则可通过运行 /etc/init.d/imq start 在 Solaris 中启动它,或通过启动 iMQ Broker Windows 服务在 Windows 中启动它。

如果要在 Solaris 8 中安装 Message Queue,且要运行 mquinstall 以安装所有软件包,则运行 mqinstall 务必设置 IMQ_JAVAHOME,以确保软件采用 Java 的正确版本。

如果尚未安装“核心”,则不必设置 IMQ_JAVAHOME,因为 Identity Synchronization for Windows 安装程序会通知 Message Queue 代理程序使用哪个 JVM。

排除代理程序配置目录通信故障

Message Queue 代理程序针对存储 Identity Synchronization for Windows 配置的 Directory Server 验证客户机。如果代理程序无法连接至此 Directory Server,则没有任何客户机可连接至 Message Queue,且代理程序日志会记录一些 javax.naming 异常,如“javax.naming.CommunicationException”或“javax.naming.NameNotFoundException”。

若出现 javax.naming 异常,请执行下列操作

排除代理程序内存设置故障

正常运行时,Message Queue 代理程序会占用一定的内存。但在执行 idsync resync 操作期间,代理程序需要更多的内存。如果代理程序达到其内存极限,则未传送的消息便会积聚,idsync resync 操作的速度会明显降低(或完全停止),而且此后 Identity Synchronization for Windows 可能会没有响应。

当代理程序进入低内存状态时,其日志中会出现以下消息:

[03/Nov/2003:14:07:51 CST] [B1089]:In low memory condition, Broker is attempting to free up resources

[03/Nov/2003:14:07:51 CST] [B1088]:Entering Memory State [B0024]:RED from previous state [B0023]:ORANGE - current memory is 1829876K, 90% of total memory

为避免出现这种情况,

一旦代理程序内存不足,请按以下步骤恢复:

  1. 通过检查相应目录中的持久消息存储器来验证代理程序是否积聚了大量未传送的消息。
    • 在 Solaris 中/var/imq/instances/psw-broker/filestore/message/
    • 在 Windows 中<installation_root>\isw-<machine_name>\imq\var\ instances\isw-broker\filestore\message\
  2. 此目录下的每个文件包含一个未传送的消息。如果此目录中的文件超过 10000 个,则表明代理程序积聚了大量的消息。1不然,说明代理程序存在其它问题。
  3. 积聚的消息可能只是与 idsync resync 操作有关的日志文件,可以安全地将这些文件删除。
  4. 启动和停止服务中所述方法停止 Message Queue 代理程序。
  5. 删除持久消息存储器中的所有文件。删除这些文件的最简便的方法就是递归删除 message/ 目录,之后再重新创建它。
  6. 重新启动 Message Queue 代理程序。

按本节中的说明进行操作,确保代理程序不再出现内存不足现象。


排除 SSL 故障

当诊断 SSL 问题时,另请参阅第 11 章,“配置安全性”,该章节介绍了如何在 Identity Synchronization for Windows 的组件间设置 SSL。本节包括:

核心组件间的 SSL

Identity Synchronization for Windows 安装程序无法检验“核心”安装期间所提供的 SSL 端口是否正确。如果在“核心”安装期间键入了错误的 SSL 端口,那么“核心”组件将无法正常通信。在第一次尝试保存配置之前您可能不会发现问题。“控制台”将显示下列警告:

配置已成功保存,但无法通知“系统管理器”有关该新配置信息。

系统管理器日志将包括以下条目:

[10/Nov/2003:10:24:35.137 -0600] WARNING 14 example "Failed to connect

to the configuration directory because "Unable to connect: (-5981)

Connection refused by peer.".Will retry shortly."

如果出现这种情况,请卸载“核心”,然后使用正确的 SSL 端口号重新安装。

“连接器”与 Directory Server 或 Active Directory 间的 SSL

如果连接器无法通过 SSL 连接至 Directory Server 或 Active Directory,则下面的消息会出现在中心错误日志中:

[06/Oct/2003:14:02:48.911 -0600] WARNING 14 CNN100 host1 "failed to open connection to ldaps://host2.airius.com:636."

打开“控制台”并检查“指定高级安全选项”面板(参见(详细信息...))。

不信任的证书

可从中心审计日志获取更多信息。例如,如果 LDAP 服务器的 SSL 证书不被信任,则会记录下列消息

[06/Oct/2003:14:02:48.951 -0600] INFO 14 CNN100 host1 "failed to open connection to ldaps://host2.airius.com:636, error(91):Cannot connect to the LDAP server, reason:SSL_ForceHandshake failed:(-8179) Peer’s Certificate issuer is not recognized."

大多数情况下,CA 证书未被添加到连接器的证书数据库中。这可通过运行 Directory Server 随附的 certutil 程序进行确认。2


注意

SUNWtlsu 软件包中提供了证书管理实用程序(如 certutil),该软件包不是与 Directory Server 一并捆绑提供的。(可从 Sun Microsystems 免费下载此软件包。)

下载此软件包后,可在以下位置找到 certutil

/usr/sfw/bin/certutil


在本例中,证书数据库中不包含任何证书:3

# /usr/sunone/servers/shared/bin/certutil -L -d /usr/sunone/servers/ isw-host1/etc/CNN100

Certificate Name                                 Trust Attributes

p Valid peer

P Trusted peer (implies p)

c Valid CA

T Trusted CA to issue client certs (implies c)

C Trusted CA to certs(only server certs for ssl) (implies c)

u User cert

w Send warning

在下例中,证书数据库中仅包含 Active Directory CA 证书:

# /usr/sunone/servers/shared/bin/certutil -L -d /usr/sunone/servers/ isw-host1/etc/CNN100

Certificate Name                                 Trust Attributes

airius.com CA                                    C,c,

p Valid peer

P Trusted peer (implies p)

c Valid CA

T Trusted CA to issue client certs (implies c)

C Trusted CA to certs(only server certs for ssl) (implies c)

u User cert

w Send warning

如此处所显示,CA 证书的信任标志必须为“C,,”。如果证书存在且正确设置了信任标志,但仍无法连接连接器,请首先检查添加证书后是否重新启动了连接器,然后借助 Sun Java System Directory 自带的 ldapsearch 命令诊断问题。如果 ldapsearch 不接受该证书,则连接器也不会接受。例如,如果证书不被信任,则会被 ldapsearch 拒绝。

# /usr/sunone/servers/shared/bin/ldapsearch -Z -P /usr/sunone/ servers/isw-host1/etc/CNN100 -h host2 -b "" -s base "(objectclass=*)"

ldap_search:Can’t contact LDAP server

    SSL error -8179 (Peer’s Certificate issuer is not recognized.)

-P 选项指示 ldapsearch 使用连接器 CNN100 的证书数据库进行 SSL 证书验证。将正确的证书添加到连接器的证书数据库后,检验 ldapsearch 是否接受该证书,然后重新启动连接器。

不匹配的主机名

当 Identity Synchronization for Windows 尝试建立 SSL 连接时(禁用信任所有证书设置),Identity Synchronization for Windows 的“连接器”将检验服务器的主机名是否与服务器在 SSL 协商阶段所提供的证书中的主机名相匹配。若主机名不相匹配,则连接器将拒绝建立连接。

Identity Synchronization for Windows 配置中的目录源主机名必须始终与该目录源使用的证书中嵌入的主机名相符。

可使用 ldapsearch 来检验主机名是否匹配,如下所示:

/var/mps/serverroot/shared/bin/ldapsearch.exe -Z -P /var/opt/SUNWisw/etc/CNN100 -3
-h host2.example.com -p 636 -s base -b "" "(objectclass=*)"

若命令行 (host2.example.com) 中的主机名与证书中所嵌入的主机名不匹配,则会显示以下错误消息:

ldap_search:Can’t contact LDAP server

SSL error -12276 (Unable to communicate securely with peer: requested do main name does not match the server’s certificate.)

若主机名匹配,则将成功运行 ldapsearch 命令并显示根 DSE 的内容。

到期的证书

如果服务器的证书已到期,则会记录下列消息

[06/Oct/2003:14:06:47.130 -0600] INFO 20 CNN100 host1 "failed to open connection to ldaps://host2.airius.com:636, error(91):Cannot connect to the LDAP server, reason:SSL_ForceHandshake failed:(-8181) Peer’s Certificate has expired."

此时,必须为服务器发放新证书。

Directory Server 插件与 Active Directory 间的 SSL

默认情况下,在执行即时请求密码同步过程中,Directory Server 不通过 SSL 与 Active Directory 通信。如果改写默认值以保护此通过 SSL 进行的通信,则必须如第 11 章,“配置安全性”中所述,将 Active Directory CA 证书添加到每个主副本的 Directory Server 证书数据库中。如果不添加此证书,会出现“执行 DSA 困难”错误而无法将用户绑定到 Directory Server,并且“插件”的日志(例如,isw-<hostname>/logs/SUBC100/pluginwps_log_0.txt)将报告下列信息:

[06/Nov/2003:15:56:16.310 -0600] INFO td=0x0376DD74 logCode=81 ADRepository.cpp:310 "unable to open connection to Active Directory server at ldaps://host2.airius.com:636, reason: "

此时,必须将 Active Directory CA 证书添加到 Directory Server 的证书数据库中,然后重新启动 Directory Server。


排除控制器故障

从备份文件恢复 Active Directory 域控制器时,某些计数器不会被重置。

为确保正确重置所有计数器,请在恢复 Active Directory 域控制器后重新同步所有用户。

1 即使已经传送了所有消息,代理程序也可能会保留最多 10000 个消息文件,以避免创建和删除文件产生性能损失。 2 在 Solaris 中运行此命令前,必须将 <installation_root>/lib 目录添加到 LD_LIBRARY_PATH 环境变量中。 3 Sun Java System Directory Server 和 Windows NT Connector 的默认证书数据库中包含两个证书,即 saint-cert100saintRootCA。此版本中不使用这些证书。

上一页      目录      索引      下一页     


文件号码:817-7848。 版权所有 2004 Sun Microsystems, Inc. 保留所有权利。