Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 |
第 7 章
遷移至 Identity Synchronization for Windows 1 2004Q3本章說明如何將系統從 Sun Java System Identity Synchronization for Windows 1.0 版遷移至 1 2004Q3 版。
附註
Identity Synchronization for Windows 1.0 版附帶安裝 Message Queue,但 Identity Synchronization for Windows 2004Q3 不會執行這樣的安裝。
安裝說明請參閱 Sun Java System Message Queue 產品文件。
內容分作以下各節:
概況要從 Identity Synchronization for Windows 1.0 版 (或 1.0 SP1 版) 遷移到 1 2004Q3,需完成幾個主要階段:
遷移準備工作開始遷移過程之前:
- 請先熟悉 Sun Java System Identity Synchronization for Windows 1 版的新特色及功能2004Q3。
- 閱讀第 2 章,「準備安裝」中有助於規劃您的遷移程序的安裝及配置資訊。
- 記錄您的 1.0 版部署及配置。確實記下您在配置中所做的任何自訂化設定。
- 排程遷移。
由於遷移程序至少需要四個小時,所以您可以排程在下班時間遷移。
當您將系統從 1.0 版遷移至 1 2004Q3 期間發生使用者輸入密碼或屬性變更情況,Identity Synchronization for Windows 將對這些變更進行以下處理:
- Active Directory 系統:凡於遷移過程中在 Active Directory 上所做的任何密碼變更,將於遷移程序完成後由 Directory Server 外掛程式進行隨需同步化。
- Directory Server:凡於遷移過程中在 Directory Server 上所做的任何密碼變更,一概不予同步化。不過,您可以在遷移程序完成後,從 Identity Synchronization for Windows 1 2004Q3 日誌中識別受影響的使用者。(請參閱檢查日誌。)
- Windows NT:凡於遷移過程中在 NT 上所做的任何密碼變更,一概不予同步化。
不過,可以利用 forcepwchg 公用程式,識別受影響的使用者並強制其再次變更密碼。(請參閱強制在 Windows NT 上變更密碼與檢查日誌以取得詳細資訊。)
- 在遷移過程中發生的所有其他屬性變更 (在所有目錄來源),都將於遷移程序完成後予以同步化。
準備遷移您將使用以下一或多個公用程式,從 1.0 版遷移至 1 2004Q3 版:
- export10cnf:此為獨立式公用程式,可用來建立從 Identity Synchronization for Windows 1.0 配置匯出的配置檔案。(詳細資訊,請參閱匯出 1.0 版配置。)
當您停止 1.0 同步化後,更新項目仍會保留在 Message Queue 中。進行遷移前,必須驗證 Message Queue 中是否無任何更新項目存在。(詳細資訊,請參閱檢查未傳送的訊息。)
- forcepwchg:此為 Windows NT 工具,能讓您識別哪些使用者的密碼在遷移過程中發生變更,並於您的 1 2004Q3 版系統準備就緒時,強制該使用者再次變更密碼。(遷移期間於 Windows NT 上所做的密碼變更擷取不到。) (詳細資訊,請參閱強制在 Windows NT 上變更密碼。)
匯出 1.0 版配置
安裝連接器之前,您可以使用 export10cnf 公用程式,將現有的 1.0 版配置匯出成 XML 檔,然後使用 idsync importcnf 指令將該檔迅速無誤地匯入 1 2004Q3 系統。
提示
雖然可以透過 Identity Synchronization for Windows 主控台手動重新輸入 1.0 配置,但在此強烈建議您使用 export10cnf 公用程式。如果您決定不使用 export10cnf,則將無法保留連接器的配置狀態。
匯出 1.0 版配置的好處如下:
export10cnf 公用程式位在 migration 安裝目錄中,無需執行額外的安裝步驟。
使用 export10cnf 公用程式
若要將 Identity Synchronization for Windows 配置匯出到 XML 檔案,請按如下步驟從 migration 目錄執行 export10cnf:
export10cnf 公用程式與 Identity Synchronization for Windows 指令行公用程式共用相同的共用引數 (請參閱共用引數)。唯一的 export10cnf 專用選項是 -f <filename>。如果作業成功,則此公用程式會將目前的配置匯出至引數 -f 所指定的檔案中。
插入明文密碼
基於安全性考慮,export10cnf 公用程式不會從 1.0 版配置匯出明文密碼。代之,該公用程式會在 cleartextPassword 欄位的適當地方插入空字串。例如,
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
您必須在匯出的配置檔案中,逐一將密碼手動輸入到每個 cleartextPassword 欄位的雙引號之間,才能將該檔案匯入 Identity Synchronization for Windows 1 2004Q3。(importcnf 驗證可避免將空密碼值匯入配置檔案中。)
例如,
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword="mySecretPassword"/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE
FIELD -->
匯出配置檔案範例
代碼範例 7-1 舉出匯出後的配置檔案範例。
在此檔案中,
- ad-host.example.com 係指 Active Directory 網域控制器。
- ds-host.example.com 係指執行 Sun Java System Directory Server 的主機。
代碼範例 7-1 匯出配置檔案範例
<SyncScopeDefinitionSet
index="0"
location="cn=users,dc=example,dc=com"
filter=""
creationExpression="cn=%cn%,cn=users,dc=example,dc=com"
sulid="SUL"/>
</ActiveDirectorySource>
<ActiveDirectoryGlobals
flowInboundCreates="true"
flowInboundModifies="true"
flowOutboundCreates="true"
flowOutboundModifies="true">
<AttributeDescription
parent.attr="CreationAttribute"
name="samaccountname"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeMap>
<AttributeDescription
parent.attr="WindowsAttribute"
name="samaccountname"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="SunAttribute"
name="uid"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<AttributeDescription
parent.attr="SignificantAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<SynchronizationHost
hostOrderOfSignificance="1"
hostname="ad-host.example.com"
port="389"
portSSLOption="true"
securePort="636">
<Credentials
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</SynchronizationHost>
<AttributeDescription
parent.attr="CreationAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<TopologyHost
parent.attr="SchemaLocation"
hostname="ad-host.example.com"
port="3268"
portSSLOption="true"
securePort="3269">
<Credentials
parent.attr="Credentials"
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<TopologyHost
parent.attr="HostsTopologyConfiguration"
hostname="ad-host.example.com"
port="3268"
portSSLOption="true"
securePort="3269">
<Credentials
parent.attr="Credentials"
userName="cn=iswservice,cn=users,dc=example,dc=com"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
<AttributeMap>
<AttributeDescription
parent.attr="SunAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="WindowsAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</AttributeMap>
</ActiveDirectoryGlobals>
<SunDirectoryGlobals
userObjectClass="inetorgperson"
flowInboundCreates="true"
flowInboundModifies="true"
flowOutboundCreates="true"
flowOutboundModifies="true">
<TopologyHost
parent.attr="SchemaLocation"
hostname="ds-host.example.com"
port="389"
portSSLOption="false"
securePort="636">
<Credentials
parent.attr="Credentials"
userName="cn=directory manager"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<TopologyHost
parent.attr="HostsTopologyConfiguration"
hostname="ds-host.example.com"
port="389"
portSSLOption="false"
securePort="636"><Credentials
parent.attr="Credentials"
userName="cn=directory manager"
cleartextPassword=""/>
<!-- INSERT PASSWORD BETWEEN THE DOUBLE QUOTES IN THE ABOVE FIELD -->
</TopologyHost>
<AttributeDescription
parent.attr="SignificantAttribute"
name="description"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="CreationAttribute"
name="sn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
<AttributeDescription
parent.attr="CreationAttribute"
name="cn"
syntax="1.3.6.1.4.1.1466.115.121.1.15"/>
</SunDirectoryGlobals>
</ActiveConfiguration>
配置匯出完成後,export10cnf 會報告這項作業的結果。假如作業失敗,則顯示適當錯誤訊息及錯誤識別碼。
檢查未傳送的訊息
Identity Synchronization for Windows 1.0 至 1 2004Q3 遷移程序藉由保留現有部署中的連接器狀態,將系統停機的可能降到最低。不過,這些狀態僅能夠反映出 Message Queue 最後一次收到並確認的變更,您無法確切得知訊息是否確實傳出並套用至目標連接器。
此情況下,只要 Message Queue 沒有變動即不會造成問題,然而 Message Queue 上的任何訊息會在遷移程序中 (您安裝 Message Queue 3.5 SP1 時) 遺失。
進行遷移前,請務必驗證現有 Message Queue 的同步化主題中不含任何未傳送的訊息。Identity Synchronization for Windows checktopics 公用程式可用來驗證所有的同步化主題是否均是空的 (且系統靜止無動作)。
使用 checktopics 公用程式
Solaris/SPARC 及 Windows Identity Synchronization for Windows 1 2004Q3 套裝軟體的 migration 目錄中提供 checktopics 公用程式。
執行 checktopics 公用程式時,它會連接配置目錄,其中包含有關「同步化使用者清單 (SUL)」和 Message Queue 目前使用的同步化主題名稱的資訊。此外,當您執行 checktopics 時,它會詢問 Message Queue 以得知各個作用中的同步化主題中尚留有多少未傳送的訊息,然後向您顯示查詢到的資訊。
若要執行 checktopics 指令行公用程式:
執行 checktopics 後,檢查終端機是否留有訊息:
清除訊息
如果作用中的同步化主題中仍有未傳送的訊息,可參照下列程序來清除訊息:
強制在 Windows NT 上變更密碼
在 Windows NT 上進行遷移的過程中,系統不會監視密碼變更,也不會擷取新的密碼值。因此,當遷移完成後,無從判定新的密碼值。
與其在遷移至 1 2004Q3 之後要求所有的使用者變更密碼,較好的方法是使用 forcepwchg 指令行公用程式向所有在遷移過程中變更密碼的使用者發出密碼變更要求。
forcepwchg 公用程式位在 Windows migration 目錄中。直接從該目錄執行 forcepwchg 即可,無需執行額外的安裝步驟。
您必須在安裝有 NT 元件 (連接器、變更偵測器 DLL 及密碼篩選器 DLL) 的主要網域控制器 (PDC) 主機上執行 forcepwchg,不能從遠端執行 forcepwchg。
forcepwchg 公用程式亦可輸出嘗試遷移的帳號名稱 (一列一個帳號名稱)。若遷移過程中發生錯誤,錯誤可能發生在遷移最後輸出的使用者帳號期間。
遷移系統本節說明如何將單一主機部署遷移成 1 2004Q3 版。在單一主機部署中,所有的 Identity Synchronization for Windows 元件均安裝在一台主機上 (Windows 2000 Server、Solaris 8 或 9,或者 SPARC),這些元件有:
下圖繪示遷移程序,同時可將其視為補充後述遷移說明的檢查清單。
圖 7-1 遷移單一主機部署
準備遷移
參照以下程序,準備將 Identity Synchronization for Windows 1.0 版遷移成 1 2004Q3 版:
- 透過指令提示符號:
- 將 1.0 版配置設定匯出成 XML 檔。依照 使用 export10cnf 公用程式 的說明,從 migration 目錄下執行 export10cnf。例如:
java -jar export10cnf.jar -D “cn=directory manager” -w - -s “dc=example,dc=com” -q - -f export.cfg
- 將密碼加入匯出後的 XML 檔。
在匯出的配置檔案中,將密碼輸入各 cleartextPassword 欄位的雙引號之間 (請參閱插入明文密碼)。
- 如啟動與停止同步化所述,停止同步化。
- 確認您的系統是否在休眠狀態。依照 使用 checktopics 公用程式 的說明,從 migration 目錄下執行 checktopics。
例如:
java -jar checktopics.jar -D “cn=directory manager” -w - -s “dc=example,dc=com” -q -
- 如啟動與停止服務所述,停止 Identity Synchronization for Windows 服務 (常駐程式)。
- 僅限 Windows NT - 停止 Sun One NT 變更偵測器服務。您可以鍵入下列指令,從指令行停止服務
net stop “Sun One NT ChangeDetector Service”
- 僅限 Windows NT - 按如下步驟儲存 NT 變更偵測器服務計數器:
- 從現有的 1.0 安裝目錄樹備份 persist 和 etc 目錄,來儲存連接器狀態。
- 啟動 Identity Synchronization for Windows 服務 (請參閱 (更多資訊...) )。
解除安裝 Identity Synchronization for Windows
附註
如果 SUNWjss 套裝軟體未註冊供 Identity Synchronization for Windows 1.0 以外的其他應用程式使用,則 Identity Synchronization for Windows 1.0 解除安裝程式會移除該套裝軟體。這種情形特別容易發生在當您在 Solaris 電腦上安裝 Directory Server 5.2.2 的壓縮版本時,此時解除安裝程式會將 jss3.jar 檔案從 /usr/share/lib/mps/secv1 移除。
如果您在遷移至 Identity Synchronization for Windows 11 2004Q3 時遇到這種情形,安裝程式將會回報缺少一個必要檔案,並將該檔案的名稱記錄在安裝日誌中。發生這種情形時,您必須重新安裝必要的修補程式 (請參閱 Sun Java System 軟體需求) 並重新啟動安裝程序。
完成準備步驟後,您即可開始按如下步驟解除安裝 Identity Synchronization for Windows 1.0 版 (或 1.0 SP1):
- 手動解除安裝 Directory Server 外掛程式,並重新啟動所有安裝了外掛程式的 Directory Server。
- 在安裝了外掛程式的每台 Directory Server 上執行下列步驟:
- 將目錄變更 (cd) 為 <server_root>\isw-<hostname>,再使用 Identity Synchronization for Windows 1.0 解除安裝程式來解除安裝 1.0/1.0 SP1 版連接器及核心元件。
- 使用下列步驟,從產品登錄檔案移除 Identity Synchronization for Windows 相關的項目:
- 備份檔案的副本,位置如下所示:
- 若要從產品登錄檔案移除 Identity Synchronization for Windows 的相關項目,請遵循從 Solaris 系統手動解除安裝 1.0 核心程式與實例.的步驟 6 說明操作
- 僅限 Windows 系統 - 將核心程式解除安裝後重新開機。
附註
如果解除安裝因故失敗,可能需要手動解除安裝 Identity Synchronization for Windows 元件。此部分之說明請參閱解除安裝 1.0 失敗時之處理。
- 僅限 Windows 系統 - 確認 Identity Synchronization for Windows 目前並未執行。必要時,您可以鍵入下列指令,從指令行停止服務
net stop “Sun ONE Identity Synchronization for Windows”
若此服務在解除安裝完成後繼續執行,則會導致共用違規,使您無法刪除實例目錄。
- 移除 Identity Synchronization for Windows 實例目錄 (isw-<hostname>)。
安裝或升級附屬產品
使用下列步驟來升級 Java Runtime Environment、安裝 Message Queue 及升級 Directory Server:
- 在安裝了 Identity Synchronization for Windows 元件的每台主機 (Windows NT 除外) 上升級 Java 2 Runtime Environment (或 Java 2 SDK)。(版本不應低於 1.4.2_04。)
- Java 2 SDK:http://java.sun.com/j2se/1.4.2/install.html
- Java 2 Runtime Environment:http://java.sun.com/j2se/1.4.2/jre/install.html
- 依照《Sun Java SystemMessage Queue 3.5 SP1 Installation Guide》之說明,安裝 Message Queue 3.5 SP1。
- 依照《Sun Java System Directory Server 5 2004Q2 Installation and Migration Guide》之說明,將 Directory Server 升級至 5.2 SP2 版,該文件可於以下位置取得:
http://docs.sun.com/db/coll/DirectoryServer_04q2
Directory Server 升級會保留您目前的 Directory Server 配置與資料庫。
安裝 Identity Synchronization for Windows 1 2004Q3
依照下列步驟安裝 Identity Synchronization for Windows 1 2004Q3 元件:
- 安裝 Identity Synchronization for Windows 1 2004Q3 核心程式。(請參閱安裝核心程式)
- 針對 Directory Server 執行 idsync prepds 以更新模式,方法如下。
- Solaris 系統:鍵入 cd /opt/SUNWisw/bin
再鍵入:idsync prepds <arguments>- Windows 系統:鍵入 cd \<serverroot>\isw-<hostname>\bin
再鍵入:idsync prepds <arguments>有關 idsync prepds 的詳細資訊,請參閱附錄 A,「使用 Identity Synchronization for Windows 指令行公用程式」。
- 鍵入如下指令,匯入 1.0 版 XML 配置檔案
idsync importcnf <arguments>
附註
當程式在您的輸入配置檔案中偵測到錯誤時,就會發生錯誤。Identity Synchronization for Windows 將中斷 importcnf 程序,並提供必要的資訊來更正錯誤。
有關使用 idsync importcnf 的詳細資訊,請參閱附錄 A 中的使用 importcnf。
- 安裝 Identity Synchronization for Windows 1 2004Q3 連接器 (請參閱安裝連接器)。
- 安裝 Identity Synchronization for Windows 1 2004Q3 Directory Server 外掛程式 (安裝 Directory Server 外掛程式)。
- 如啟動與停止服務所述,停止 Identity Synchronization for Windows 服務 (常駐程式)。
- 僅限 Windows NT - 停止 Sun Java System NT 變更偵測器服務。您可以鍵入下列指令,從指令行停止服務
net stop “Sun Java(TM) System NT Change Detector”
- 僅限 Windows NT - 還原 NT 變更偵測器服務計數器:
- 僅限 Windows NT - 啟動 Sun Java System NT 變更偵測器服務。您可以鍵入下列指令,從指令行啟動服務
net start “Sun Java(TM) System NT Change Detector”
- 移除實例目錄中的 1 2004Q3 persist 和 etc 目錄 (及其所有內容),並還原您在準備遷移中備份的 1.0 版 (或 1.0 SP1) 的 persist 和 etc 目錄。
- 啟動 Identity Synchronization for Windows 服務 (請參閱 (更多資訊...) )。
- 如啟動與停止同步化所述,啟動同步化。
- 檢查中央稽核日誌,驗證是否無任何警告訊息。
解除安裝 1.0 失敗時之處理如果 1 2004Q3 版安裝程式發現 1.0 版系統元件殘留,1 2004Q3 安裝就會失敗。因此,開始安裝 1 2004Q3 版之前,應驗證系統上已徹底移除所有的 1.0 元件。
若解除安裝程式不解除安裝所有的 1.0/1.0 SP1 版元件,則您必須手動清除 Identity Synchronization for Windows 產品登錄及 Solaris 套裝軟體。
有關手動解除安裝 Identity Synchronization for Windows 1.0 版之詳細指示如以下三節所述:
附註
本節中提供的說明僅適用於解除安裝 Identity Synchronization for Windows 1.0 版。
除非 Identity Synchronization for Windows 解除安裝程式失敗,否則請勿使用下列各節提供的手動解除安裝程序。
從 Solaris 系統手動解除安裝 1.0 核心程式與實例
請參照本節之說明,手動解除安裝 Solaris 電腦上的核心程式。
附註
在本節中,Identity Synchronization for Windows 的位置描述如下:
<serverroot>/isw-<hostname>
其中,<serverroot> 表示 Identity Synchronization for Windows 安裝位置的父目錄。
例如,假設您將 Identity Synchronization for Windows 安裝在 /var/Sun/mps/isw-<example>,則 <serverroot> 應為 /var/Sun/mps。
- 在終端機視窗中鍵入 /etc/init.d/isw stop 以停止所有的 Identity Synchronization for Windows Java 程序。
如果上述指令並未停止所有的 Java 程序,請鍵入:
/usr/ucb/ps -gauxwww | grep java
kill -s SIGTERM <由上述指令而得的程序 ID>
- 按如下方法停止 Message Queue:
- 在提示符號下,鍵入以下指令停止 Message Queue 代理程式:
/etc/init.d/imq stop
- 若要停止任何剩餘的 imq 程序,鍵入:
* ps -ef | grep imqbroker
* kill -s SIGTERM <由上述指令而得的程序 ID>
- 使用下列方法之一來解除安裝代理程式套裝軟體及目錄:
- 使用 Message Queue 代理程式解除安裝程序檔 (位在您安裝核心程式的主機之 Identity Synchronization for Windows 實例目錄中) 來解除安裝代理程式。鍵入:
/<serverroot<>/isw-<hostname>/imq_uninstall
- 按如下方法手動解除安裝套裝軟體及目錄:
使用 pkgrm:指令移除以下套裝軟體:
SUNWaclg
SUNWiqum
SUNWiqjx
SUNWiqlen
SUNWxsrt
SUNWiqu
SUNWjaf
SUNWiqfs
SUNWjhrt
SUNWiqdoc
SUNWiquc
SUNWiqsup
SUNWiqr
SUNWjmail
使用 rm -rf 指令移除以下目錄:
- 若要移除 Identity Synchronization for Windows 1.0 Solaris 套裝軟體,請針對表格 7-1 中所列的各套裝軟體逐一執行 pkgrm <packageName>。
(例如 pkgrm SUNWidscm SUNWidscn SUNWidscr SUNWidsct SUNWidsoc)
表格 7-1 需移除之 Solaris 套裝軟體
套裝軟體名稱
描述
SUNWidscm
Sun ONE Directory Server Identity Synchronization 之核心元件及連接器套裝軟體。
SUNWidscn
Sun ONE Directory Server Identity Synchronization 之主控台說明檔案套裝軟體。
SUNWidscr
Sun ONE Directory Server Identity Synchronization 之核心元件套裝軟體。
SUNWidsct
Sun ONE Directory Server Identity Synchronization 之連接器套裝軟體。
SUNWidsoc
Sun ONE Directory Server Identity Synchronization 之物件快取套裝軟體。
若要驗證所有的套裝軟體是否均已移除,請鍵入:
pkginfo | grep -i "Identity Synchronization"
- 按如下方法移除 Director Server 外掛程式:
- 備份 (複製並重新命名) /var/sadm/install/productregistry 中目前的 productregistry 檔案。
- 手動編輯 /var/sadm/install/ 中的 productregistry 檔案,移除下列項目 (如果存在):
附註
- 為得到最佳結果,請使用 XML 編輯器。或者亦可使用標準的文字編輯器。
- 檔案中未必含有下列所有的元件。
- 您必須刪除開頭標記 (<compid>)、結束標記 (<\compid>),以及兩個標記之間所有的內容。下列清單中使用省略符號代表這些標記中所含的其他文字及/或標記。(請參閱 (更多資訊...) 的範例。)
- <compid>Identity Synchronization for Windows . . . </compid>
- <compid>Core . . . </compid>
- <compid>unistaller . . . </compid>
- <compid>wpsyncwatchdog . . . </compid>
- <compid>setenv . . . </compid>
- <compid>Create DIT . . . </compid>
- <compid>Extend Schema . . . </compid>
- <compid>resources . . . </compid>
- <compid>CoreComponents . . . </compid>
- <compid>Connector . . . </compid>
- <compid>DSConnector . . . </compid>
- <compid>Directory Server Plugin . . . </compid>
- <compid>DSSubcomponents . . . </compid>
- <compid>ObjectCache . . . </compid>
- <compid>ObjectCacheDLLs . . . </compid>
- <compid>SUNWidscr . . . </compid>
- <compid>SUNWidscm . . . </compid>
- <compid>SUNWidsct . . . </compid>
- <compid>SUNWidscn . . . </compid>
- <compid>SUNWidsoc . . . </compid>
- <compid>ADConnector . . . </compid>
<compid> 標記的範例如下。移除 <compid>、</compid> 以及標記之間所有的文字與標記。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- 移除下列 Identity Synchronization for Windows 目錄及檔案:
- 如下清除配置目錄:
- 針對安裝有 Identity Synchronization for Windows 核心程式的配置目錄,執行以下 ldapsearch 指令以尋找 Identity Synchronization for Windows 主控台子目錄樹:
ldapsearch -D "cn=directory manager" -w <my_password> -b o=netscaperoot "(nsnickname=isw)" dn
附註
ldapsearch 位在 Directory Server 的 <serverroot>/shared/bin/ldapsearch
例如,var/Sun/mps/shared/bin/ldapsearch
產生的結果項目大致如下 (請注意,項目的結尾一律為 o=NetscapeRoot):
"cn=Sun ONE Identity Synchronization for Windows,cn=server group, cn=myhost.mydomain.com,ou=mydomain.com,o=NetscapeRoot"
- 使用 Directory Server 主控台移除 Identity Synchronization for Windows 主控台子目錄樹及其下的所有子目錄樹。
- 如下清除 Identity Synchronization for Windows 配置登錄:
- 執行以下的 ldapsearch 指令,尋找 Directory Server 中的 Identity Synchronization for Windows 配置登錄:
ldapsearch -D "cn=directory manager" -w <my_password> -b "dc=my,dc=domain" "(&(objectclass=iplanetservice)(ou=IdentitySynchronization))" dn
產生的結果項目大致如下:
"ou=IdentitySynchronization,ou=Services,dc=my,dc=domain"
- 使用 Directory Server 主控台移除 Identity Synchronization for Windows 配置登錄及其下的所有子目錄樹。
- 如下清除其他所有的主控台相關檔案:
從 Windows 2000 手動解除安裝 1.0 核心程式與實例
請參照本節之說明,手動解除安裝 Windows 2000 電腦上的核心程式。
附註
在本節中,Identity Synchronization for Windows 的位置描述如下:
<serverroot>\isw-<hostname>
其中,<serverroot> 表示 Identity Synchronization for Windows 安裝位置的父目錄。
例如,假設您將 Identity Synchronization for Windows 安裝在 C:\Program Files\Sun\mps\isw-example,則 <serverroot> 即為 C:\Program Files\Sun\mps。
- 透過以下方法之一,停止所有的 Identity Synchronization for Windows Java 程序:
- 透過以下方法之一停止 Message Queue (僅限於核心程序的解除安裝作業):
- 按如下步驟移除 Directory Server 外掛程式:
- 開啟「指令提示符號」視窗,鍵入 regedit 以開啟「登錄編輯程式」視窗。
重要事項 進行步驟 5 之前請備份您目前的登錄檔案。
- 在「登錄編輯程式」中,從功能表列選取「編輯」>「刪除」,將下列 Identity Synchronization for Windows 機碼從 Windows 登錄中移除:
- 備份 (複製並重新命名) C:\WINNT\system32 中目前的 productregistry 檔案。
- 編輯 C:\WINNT\system32 \productregistry 檔案,移除下列標記:
附註
- 為得到最佳結果,請使用 XML 編輯器。或者亦可使用標準的文字編輯器。
- 檔案中未必含有下列所有的元件。
- 您必須刪除開頭標記 (<compid>)、結束標記 (<\compid>),以及兩個標記之間所有的內容。下列清單中使用省略符號代表這些標記中所含的其他文字及/或標記。(請參閱 (更多資訊...) 的範例。)
- <compid>Identity Synchronization for Windows . . . </compid>
- <compid>Core . . . </compid>
- <compid>unistaller . . . </compid>
- <compid>wpsyncwatchdog . . . </compid>
- <compid>setenv . . . </compid>
- <compid>Create DIT . . . </compid>
- <compid>Extend Schema . . . </compid>
- <compid>resources . . . </compid>
- <compid>CoreComponents . . . </compid>
- <compid>Connector . . . </compid>
- <compid>DSConnector . . . </compid>
- <compid>Directory Server Plugin . . . </compid>
- <compid>DSSubcomponents . . . </compid>
- <compid>ObjectCache . . . </compid>
- <compid>ObjectCacheDLLs . . . </compid>
- <compid>ADConnector . . . </compid>
<compid> 標記的範例如下。移除 <compid>、</compid> 以及標記之間所有的文字與標記。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- 移除 Identity Synchronization for Windows 安裝資料夾,其位在 <serverroot>\isw-<hostname>。
例如 C:\Program Files\Sun\mps\isw-example
- 如下清除配置目錄:
- 從「指令提示符號」視窗中,針對安裝有 Identity Synchronization for Windows 核心的配置目錄,執行 ldapsearch 指令以尋找 Identity Synchronization for Windows 主控台子目錄樹。
附註
ldapsearch,位在 <serverroot>\shared\bin\ldapsearch。
例如,C:\Program Files\Sun\mps\shared\bin\ldapsearch
ldapsearch -D "cn=directory manager" -w <my_password> -b o=netscaperoot "(nsnickname=isw)" dn
產生的結果項目大致如下 (請注意,項目的結尾一律為 o=NetscapeRoot):
"cn=Sun ONE Identity Synchronization for Windows,cn=server group, cn=myhost.mydomain.com,ou=mydomain.com,o=NetscapeRoot"
- 使用 Directory Server 主控台移除您找到的 Identity Synchronization for Windows 主控台子目錄樹及其下的所有子目錄樹。
- 按如下步驟清除 Identity Synchronization for Windows 配置目錄 (也稱為配置登錄):
- 從「指令提示符號」視窗中,執行以下的 ldapsearch 指令,尋找 Directory Server 中的 Identity Synchronization for Windows 配置目錄:
ldapsearch -D "cn=directory manager" -w <my_password> -b "dc=my,dc=domain" "(&(objectclass=iplanetservice)(ou=IdentitySynchronization))" dn
產生的結果項目大致如下:
"ou=IdentitySynchronization,ou=Services,dc=my,dc=domain"
- 使用 Directory Server 主控台來移除您找到的配置目錄子樹,包括其下所有的子目錄樹。
- 如下清除其他所有的主控台相關檔案:
- 重新啟動機器使所有的變更生效。
從 Windows NT 手動解除安裝 1.0 實例
請參照本節指示,手動解除安裝 Windows NT 電腦上的實例。
附註
在本節中,Identity Synchronization for Windows 的位置描述如下:
<serverroot>\isw-<hostname>
其中,<serverroot> 表示 Identity Synchronization for Windows 安裝位置的父目錄。例如,如果您將 Identity Synchronization for Windows 安裝在 C:\Program Files\Sun\mps\isw-example,則 <serverroot> 應為 C:\Program Files\Sun\mps。
- 透過以下方法之一,停止所有的 Identity Synchronization for Windows Java 程序 (核心程式及實例安裝):
- 透過以下方法之一,停止變更偵測器服務:
- 重新啟動 Windows NT 電腦。
- 您必須移除 Identity Synchronization for Windows 登錄機碼。開啟「指令提示符號」視窗,鍵入 regedt32 以開啟「登錄編輯程式」視窗。
注意
請勿使用 regedit,因為程式不允許您編輯多值字串。
繼續步驟 5 之前,請務必備份您目前的 Windows 登錄檔案。
- 在「登錄編輯程式」中,從功能表列選取「編輯」>「刪除」,將下列 Identity Synchronization for Windows 機碼從登錄中移除:
- 使用 regedt32 (請勿使用 regedit) 來修改 (請勿刪除) 下列登錄機碼:
- 備份 (複製並重新命名) C:\WINNT\system32 中目前的 productregistry 檔案。
- 編輯 C:\WINNT\system32 productregistry 檔案,移除下列標記:
附註
- 為得到最佳結果,請使用 XML 編輯器。或者亦可使用標準的文字編輯器。
- 檔案中未必含有下列所有的元件。
- 您必須刪除開頭標記 (<compid>)、結束標記 (<\compid>),以及兩個標記之間所有的內容。下列清單中使用省略符號代表這些標記中所含的其他文字及/或標記。(請參閱 (更多資訊...) 的範例。)
- <compid>Identity Synchronization for Windows . . . </compid>
- <compid>Core . . . </compid>
- <compid>uninstaller . . . </compid>
- <compid>wpsyncwatchdog . . . </compid>
- <compid>setenv . . . </compid>
- <compid>Create DIT . . . </compid>
- <compid>Extend Schema . . . </compid>
- <compid>resources . . . </compid>
- <compid>CoreComponents . . . </compid>
- <compid>Connector . . . </compid>
- <compid>DSConnector . . . </compid>
- <compid>Directory Server Plugin . . . </compid>
- <compid>DSSubcomponents . . . </compid>
- <compid>ObjectCache . . . </compid>
- <compid>ObjectCacheDLLs . . . </compid>
- <compid>ADConnector . . . </compid>
<compid> 標記的範例如下。移除 <compid>、</compid> 以及標記之間所有的文字與標記。
<compid>Identity Synchronization for Windows
<compversion>1.0
<uniquename>Identity Synchronization for Windows</uniquename>
<compinstance>1
<children>
<compref>ADConnector
<instance>1
<version>1.0</version>
</instance>
</compref>
<compref>DSSubcomponents
. . .
</compinstance>
</compversion>
</compid>
- 移除 Identity Synchronization for Windows 安裝資料夾,其位在 <serverroot>\isw-<hostname>。
例如 C:\Program Files\Sun\mps\isw-example
- 移除密碼篩選器 DLL。
在 C:\winnt\system32 資料夾中尋找 passflt.dll 檔案,將該檔案重新命名為 passflt.dll.old。
- 重新啟動機器使所有的變更生效。
其他遷移方案由於尚有其他可行的部署拓樸,您實際的遷移程序有可能與上述單一主機部署的情形相異。
本節敘述兩種替代部署方案,並分別解釋各個案例的遷移方法。部署方案範例包括:
多主伺服器複製部署
在多主伺服器複製 (MMR) 部署中,兩個 Directory Server 實例安裝在不同主機上。各個主機可以在不同的作業系統上執行,不過在本方案中,兩台主機均在相同作業系統上執行。
表格 7-2 繪示 Identity Synchronization for Windows 元件分佈於兩台主機的情形。
表格 7-2 多主伺服器複製部署之元件分佈
主機 1
主機 2
Directory Server (一實例) 為同步化使用者的輔助伺服器
Directory Server (一實例) 為同步化使用者的喜好伺服器
核心程式 (Message Queue、中央記錄程式、系統管理員及主控台)
Directory Server 外掛程式
Active Directory 連接器
Directory Server 連接器
Directory Server 外掛程式
遷移程序會讓隨需密碼同步化持續於喜好伺服器或輔助伺服器上執行。
下圖繪示在 MMR 部署中遷移 Identity Synchronization for Windows 之程序:
圖 7-2 遷移多主伺服器複製部署
Windows NT 環境的多主機部署
此部署方案中使用到以下三種主機:
表格 7-3 繪示 Identity Synchronization for Windows 元件分佈於三台主機的情形。
表格 7-3 多主機部署
主機 1
主機 2
主機 3
Directory Server 帶配置儲存庫
已同步化使用者之 Directory Server
Windows NT 連接器
核心程式 (Message Queue、中央記錄程式、系統管理員及主控台)
Directory Server 連接器
Windows NT 子元件 (密碼篩選器 DLL 與變更偵測器服務)
Active Directory 連接器
Directory Server 外掛程式
如同前述方案,主機 1 與主機 2 均在相同作業系統上執行。
圖 7-3 繪示多主機部署中遷移 Identity Synchronization for Windows 之程序:
圖 7-3 遷移 Windows NT 環境的多主機部署
檢查日誌遷移至 1 2004Q3 版後,需檢查中央稽核日誌中是否有問題指示訊息,尤其遷移過程中 Directory Server 的使用者密碼變更可能會遺失,會出現如下的訊息:
[16/Apr/2004:14:23:41.029 -0500] WARNING 14 CNN101
ds-connector-host.example.com "Unable to obtain password of user cn=JohnSmith,ou=people,dc=example,dc=com, because the password was encoded by a previous installation of Identity Synchronization for Windows Directory Server Plugin.The password of this user cannot be synchronized at this time.Update the password of this user again in the Directory Server."
此日誌訊息會一直存在,直到您在 Identity Synchronization for Windows 1 2004Q3 中開始進行同步化為止,因此檢查日誌步驟需留待遷移程序的最後進行。