Sun Java System Identity Synchronization for Windows 1 2004Q3 版本說明 |
Sun Java System Identity Synchronization for Windows 版本說明
1 2004Q3 版
文件號碼 817-7856
這些版本說明包含 Sun Java System Identity Synchronization for Windows 1 2004Q3 發行時可取得的重要資訊。本文件內容包括新功能和增強功能、已知的限制和問題、技術說明和其他資訊。請在您開始使用 Sun Java System Identity Synchronization for Windows 1 2004Q3 (Identity Synchronization for Windows) 前詳讀本文件。
本版本說明包含下列小節:
本文件中引用了一些協力廠商 URL,提供額外的相關資訊。
附註
Sun 不負責本文件中提及之協力廠商網站的可用性。Sun 對在 (或透過) 此類網站或資源取得的任何內容、廣告、產品或其他材料不做保證且不負有法律責任。Sun 對使用或相信在 (或透過) 此類網站或資源取得的任何內容、商品或服務而導致的實際的或可能的損害或損失,或與此類使用或相信有關的任何實際的或可能的損害或損失不負有法律責任。
修訂歷程記錄
關於 Identity Synchronization for Windows 1 2004Q3Identity Synchronization for Windows 提供下列目錄之間的雙向密碼同步化功能:
同步化 Sun Java System Directory Server (下稱 Directory Server) 與 Windows 2000/2003 Active Directory 時,您可以在 Solaris 作業系統與 Windows 2000 Server 作業系統環境下安裝並執行所有 Identity Synchronization for Windows 元件。同步化 Directory Server 與 Windows NT 時,您必須在 Windows NT 環境下執行 Windows NT 元件。
本節包括下列內容:
本版本的新增功能
新增功能
Identity Synchronization for Windows 1 2004Q3 中的新增功能包括:
- 刪除使用者:您可配置和啟用兩方的同步化,這樣可在 Sun Java System Directory Server 中刪除使用者項目,然後將此動作傳播至 Active Directory,或是在 Active Directory 中刪除使用者項目,然後將此動作傳播至 Sun Java System Directory Server。
- Active Directory 防故障備用:可指定在進行隨需身份驗證時,防故障備用的額外 Active Directory 伺服器。當 Active Directory 使用者的密碼變更時,Identity Synchronization for Windows Directory Server 外掛程式就會使用此功能來驗證 Active Directory 的使用者身份。1.0 版並沒有這個功能,因此如果主要 Active Directory 伺服器無法使用,則從 Identity Synchronization for Windows Directory Server 外掛程式傳遞到 Active Directory 的傳遞驗證就會失敗,致使使用者無法通過 Directory Server 的身份驗證。只有當使用者變更了他們的 Active Directory 密碼,並在密碼變更後首次接受 Directory Server 的身份驗證時,才會發生這種情形。
- Active Directory 的使用者物件類別:您可使用任何相應的物件類別 (User 或副檔名) 來作為 Active Directory 綱目資訊。(在 1.0 版中,您只能使用 User 物件類別。)
- Windows 2003 Server Active Directory 支援:現在您可以安裝及配置 Identity Synchronization for Windows 1 2004Q3 並使其密碼和屬性與執行於 Windows 2003 Server 標準版或企業版平台上的 Active Directory 同步化。
- 使用者同步化的額外物件類別支援:您可為輔助與結構性物件類別的屬性定義屬性對映。在 Active Directory 中,輔助類別集受限於您選擇的主要/結構性物件類別。在 Directory Server 中,您可使用任何其他的物件類別。
- 移轉:可讓您從 1.0 版或 1.0 版 SP1 移轉到1 2004Q3 版。
- Solaris 9 x86 平台支援:Identity Synchronization for Windows 可完全支援 Solaris 9 x86 平台。
- Linkusers 與 resync 指令行作業:現在 linkusers 指令的功能已經與 resync 指令合併在一起。現在的 resync 指令行選項中新增了三個選項。這些指令如下:
有關此新功能的詳細資訊,請參閱《Identity Synchronization for Windows 安裝與配置指南》。
附註
因為 Microsoft 預計在 2004 年 12 月完全停產 Windows NT,Identity Synchronization for Windows 1 2004Q3 將修正與 Windows NT 相關的錯誤,但不會支援該平台的新功能。
如需額外資訊,請造訪「Windows 生命週期支援(Windows Life Cycle Support)」,其網址如下:http://support.microsoft.com/default.aspx?scid=fh;[ln];LifeWin
產品變更
1 2004Q3 版本中的產品變更說明如下:
效能增強
同步化效能已經大幅提昇。
文件變更
產品與文件品牌再造:Sun Java System Identity Synchronization for Windows 產品與產品文件的品牌已經從 Sun ONE Identity Synchronization for Windows 更換為 Sun Java System Identity Synchronization for Windows。
硬體與軟體需求
作業系統需求
下表說明這個版本的 Identity Synchronization for Windows 對作業系統的需求:
硬體需求
您的硬體 (所有平台) 必須符合下列最低需求,才能執行 Identity Synchronization for Windows:
Sun Java System 軟體需求
若要執行 Identity Synchronization for Windows,您必須安裝下列 Sun Java System 軟體元件:
安裝 Identity Synchronization for Windows 前,必須先安裝 Message Queue Enterprise Edition version 3.5 SP 1。我們也建議您在安裝 Sun Java System Directory Server 5 2004Q2 前,先安裝 Message Queue Enterprise Edition version 3.5 SP 1。
若要在現有的 Sun Java System Message Queue 安裝中安裝 Identity Synchronization for Windows 核心元件,您必須使用 Message Queue Enterprise Edition 3.5 SP1。如果嘗試將 Identity Synchronization for Windows 核心元件安裝在不正確的 Message Queue 版本上,將會導致同步化失敗。
若要安裝 Identity Synchronization for Windows 1 2004Q3,必須要執行 Directory Server 5 2004Q2 (5.2 版修補程式 2)。
有關 Solaris 套裝軟體安裝或要套用之修補程式的詳細資訊,請參閱《Sun Java System Directory Server 5 2004Q2 版本說明》中的〈重要資訊〉。
有關壓縮保存檔 (ZIP) 安裝、修補方式以及以壓縮保存檔升級中已知錯誤的詳細資訊,請參閱《Sun One Directory Server 5.2 版本說明》中的〈安裝注意事項〉。
如要取得 Directory Server 5.2 Patch 2 (可修正重大錯誤) 所能修正之錯誤的清單,或是查看所有適用修補程式的各個 README 檔案,請參閱:
《Sun Java System Directory Server 5 2004Q2 版本說明》。您必須在您部署的每一台主要與副本 Directory Server 以及集線器上,安裝一個 Directory Server 外掛程式 (子元件)。
有關在 Solaris 系統上安裝 Directory Server 5 2004Q2 時可能需要之修補程式的最新資訊,請參閱《Sun Java System Directory Server 5 2004Q2 Installation and Migration Guide》與《Sun Java System Directory Server 5 2004Q2 版本說明》,這些資料都可以在下列網站上找到:
若要修正 Directory Server Retrochangelog 以及 Identity Synchronization for Windows 1 2004Q2 中「刪除」功能發生的問題,必須在 Sun Java System Directory Server 5 2004Q2 上安裝一個修補程式。針對於用戶環境所特定系統的專用修補程式編號細節如下:
有關上述修補程式以及如何將其更新到 Directory Server 環境的詳細資訊,請參閱位於 Identity Synchronization for Windows 下載目錄中的 README.patch 檔案:
<download_root>/patches/directory/README.patch
此版本中修正的錯誤下表說明在 Identity Synchronization for Windows 1 2004Q3 中已經修正的錯誤:
重要資訊本節包含核心產品文件中不包含的最新資訊。本節包括下列主題:
安裝注意事項
在安裝 Identity Synchronization for Windows 1 2004Q3 之前,請務必詳讀《Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南》中的「準備安裝」章節。
使用 Windows 2003 Server
Windows 2003 Server 問題
Windows 2003 Server 的「使用者下次登入時必須變更密碼」行為不同於 Windows 2000。(4997513)
Windows 2003 預設設定了使用者下次登入時必須變更密碼旗標,Windows 2000 卻沒有。
如果您在 Windows 2000/2003 上建立使用者時設定了「使用者下次登入時必須變更密碼」旗標,則會在 Directory Server 上建立沒有密碼的使用者。使用者在下一次登入 Active Directory 中時,就會被迫變更他們的密碼,這樣會讓他們的 Directory Server 密碼失效,並在這些使用者下次接受 Directory Server 身份驗證時,強制執行隨需同步化。
除非使用者變更他們的 Active Directory 密碼,否則將無法執行 Directory Server 身份驗證。
相容性問題
使用某些「遠端主控台」產品來存取 Identity Synchronization for Windows 主控台時所發生的相容性問題。(5077227)
嘗試使用 PCAnywhere 10.x 或 Remote Administration2.1 來檢視 Identity Synchronization for Windows 主控台時,可能會發生問題。(不過,PCAnywhere 9.2 版不會產生錯誤。) 如果問題仍舊存在,請移除遠端管理軟體。也可以使用 VNC,目前已知它在顯示 Identity Synchronization for Windows 主控台時不會造成任何問題。
系統或應用程式失敗時執行資料還原
當硬體或應用程式失敗時,可能需要從某些同步化的目錄來源中的備份來還原資料。
不過,完成資料還原之後,必須執行額外程序以確保同步化可正常進行。
一般情況下,連接器會維護有關上一次變更的資訊,此資訊已被傳播至訊息佇列中。
此資料 (指連接器狀態) 可用來確定連接器必須從其目錄來源讀取的後續變更。如果同步化之目錄來源的資料庫已從某個備份被還原,則連接器狀態可能會失效。
以 Windows 為基礎的連接器 (Active Directory 或 Windows NT) 也會維護一個內部資料庫。此資料庫是已同步化資料來源的副本,可用來確定所連接的資料來源中已發生的變更。顯而易見地,一旦從備份還原了連接的 Active Directory 來源或 Windows NT 系統,內部資料庫將會失效。
一般而言,使用 idsync resync 指令可重新填入已修復的資料來源。
附註
重新同步化無法用來同步化密碼,但存在一種例外情況。如果重新同步化的資料來源是 Windows (而且 SUL 清單只包含 Active Directory 系統),則可使用 -i ALL_USERS 選項以使 Sun Java Systems Directory Server 系統中的密碼失效。
不過,並非在任何情況下都可以選擇使用 idsync resync。
雙向同步化
建議的程序是使用 idsync resync 指令,設定相應的修飾鍵值 (根據同步化設定)。resync 作業的目標應為還原的目錄來源。
單向同步化
如果還原的資料來源是同步化目標,則可按照雙向同步化的相應程序執行操作。
如果修復的資料來源是同步化來源,則仍可使用 idsync resync 來重新填入已修復的資料來源。不需要變更 Identity Synchronization for Windows 配置中的同步化傳遞設定,idsync resync 可讓您使用 -o <Windows|Sun> 選項獨立於已配置好的流程來設定同步化傳遞。
可將下列假定情況作為參照範例:
在 Sun Java Systems Directory Server 和 Active Directory 之間設定雙向同步化
- Microsoft Active Directory 伺服器的資料庫必須要從備份還原。
- 在 Identity Synchronization for Windows 中,針對 SUL "AD" 配置此 Active Directory 來源
- 在此 Active Directory 來源與 Sun Directory Server 來源之間設定修改、建立與刪除動作的雙向同步化。
- 停止同步化 idsync stopsync -w - -q -
- 重新同步化 Active Directory Source 並且重新同步化修改、建立與刪除動作:idsync resync -c -x -o Sun -l AD -w - -q -
- 重新啟動同步化 idsync startsync -w - -q -
目錄來源專用的還原程序
Microsoft Active Directory
如果可從備份還原 Active Directory,則請按照雙向或單向同步化小節中所說明的程序來進行操作。
不過,如果發生重大故障,可能必須使用其他的網域控制器。在這種情況下,請按照下列步驟來更新 Active Directory 連接器的配置:
- 啟動 Identity Synchronization for Windows 管理主控台。
- 選取「配置」標籤。
- 展開「目錄來源」節點。
- 選取相應的 Active Directory 來源。
- 按一下「編輯控制器...」
- 選取新的網域控制器。
建議您將選定的網域控制器作為網域的 NT PDC FSMO 角色所有者
- 儲存配置。
- 停止正在執行 Active Directory 連接器之主機上的 Identity Synchronization 服務。
- 刪除 <serverroot>/isw-<hostname>/persist/ADPxxx 下的所有檔案 (不是目錄),其中 xxx 是 Active Directory 連接器識別碼的號碼部分 (例如,如果 Active Directory 連接器識別碼是 CNN100,則此值為 100)。
- 啟動正在執行 Active Directory 連接器之主機上的 Identity Synchronization 服務。
- 根據您的同步化傳遞方向,執行單向或雙向同步化小節中所說明的步驟。
Sun Java System Directory Server
重大故障會影響 Retro Changelog 資料庫或具有同步化使用者的資料庫 (或同時影響兩者)。
- Retro-Changelog 資料庫。
Retro- Changelog 資料庫中可能存在一些 Directory Server 連接器無法處理的變更。只有在備份中包含某些未處理的變更時,才需要還原 Retro Changelog 資料庫。將 <serverroot>/isw-<hostname>/ADPxxx/accessor.state 檔案中最新的項目與備份中最後的變更序號加以比較,即可達到此目的。如果 accessor.state 中的值大於或等於備份中的變更序號,則不必還原該資料庫,但應重建該資料庫。
重建 Retro-Changelog 資料庫之後,請務必執行 idsync prepds,或是在 Identity Synchronization for Windows 管理主控台中按一下「Sun Directory 來源」視窗內的「備妥 Directory Server」。
Directory Server 連接器將會偵測出 Retro-Changelog 資料庫已被重建,並記錄一則警告訊息。您可放心忽略此訊息。
- 同步化的資料庫。
如果同步化的資料庫無可用的備份,則必須重新安裝 Directory Server 連接器。
如果可從備份還原同步化的資料庫,則請按照雙向或單向同步化小節中所說明的程序來進行操作。
Identity Synchronization for Windows 1 2004Q3 的文件更新
您可透過瀏覽器來存取 Identity Synchronization for Windows 線上文件檔案。您還可以下載 HTML 格式的整份文件集。
下載此檔案之後,將其解壓縮至下列位置:
<ServerRoot>/manual/en/isw
ServerRoot 是指 Sun Java System Administration Server 的位置。實際的 ServerRoot 路徑視您的平台、安裝與配置而定。ServerRoot 目錄中包含 startconsole 程式。
然後您就可以直接從 <ServerRoot>/manual/en/isw/index.html 存取該文件集,或是選取「說明」功能表中的「文件首頁」,從「伺服器主控台」中存取該文件集。
在設有防火牆的環境下執行 Identity Synchronization for Windows
您可在設有防火牆的環境下執行 Identity Synchronization for Windows。本節說明您必須透過防火牆來開放哪些伺服器通訊埠,內容如下:
Message Queue 需求
依照預設,Message Queue 的所有服務都使用動態通訊埠,但它本身的通訊埠對映器除外。若要透過防火牆存取 Message Queue 代理程式,該代理程式的所有服務都應使用固定的通訊埠。
安裝核心元件之後,必須設定 imq.<服務名稱>.<通訊協定類型>.port 代理程式配置屬性。您尤其必須設定 imq.ssljms.tls.port 選項。請參閱《Sun Java System Message Queue Administrator’s Guide》以獲得詳細資訊。
安裝程式需求
Identity Synchronization for Windows 安裝程式必須能夠與作為配置目錄的 Directory Server 進行通訊。
核心元件需求
Message Queue、系統管理員和指令行介面必須能夠與儲存 Identity Synchronization for Windows 配置的 Directory Server 連線。
主控台需求
Identity Synchronization for Windows 主控台必須能夠與下列主體連線:
連接器需求
所有的連接器都必須能夠與 Message Queue 進行通訊。此外:
Directory Server 外掛程式需求
各個 Directory Server 外掛程式都必須能夠與 Directory Server 連接器的伺服器通訊埠連線,這些伺服器通訊埠是在安裝連接器時所選定的。執行於 Directory Server 主副本中的外掛程式必須能夠與 Active Directory 的 LDAP (通訊埠 389) 或 LDAPS (通訊埠 636) 連線。執行於其他 Directory Server 副本中的外掛程式必須能夠與主要 Directory Server LDAP 或 LDAPS 通訊埠連線。
已知的問題和限制本節列出 Identity Synchronization for Windows 1 2004Q3 的各個已知問題。內容涵蓋下列產品範圍:
安裝與解除安裝
手動移除產品登錄機碼的說明。(5050004)
如果需要從產品登錄機碼中移除對 Identity Synchronization for Windows 的參照,請使用《Identity Synchronization for Windows 安裝與配置指南》第 7 章〈解除安裝失敗時之處理〉中〈Windows NT 與 Windows 2000 平台〉一節所描述之程序。
如果將核心元件安裝在名稱當中有空格的目錄下,Solaris 程序檔將無法執行。(4801643)
如果將 Identity Synchronization for Windows 核心元件安裝在路徑名稱中帶有空格的目錄下,Solaris 上的指令行程式檔將無法執行。
如果「基本 DN」中包含空格,則 Message Queue 代理程式無法啟動。(4892332 和 4892490)
請勿將核心元件安裝在包含空格的字尾上,否則 Message Queue 代理程式將無法進行身份驗證。
以現有 Message Queue 實例來安裝核心元件的副作用。(4882194)
以現有 Message Queue 代理程式實例來安裝核心元件可能會影響現有的實例。
例如,現有的配置將會作如下修改:Message Queue 代理程式最少需要 512MB 的記憶體。(4819519)
Message Queue 代理程式最少需要 512 MB 的記憶體。因為代理程式被安裝為核心元件的一部分,所以安裝有核心元件的電腦應至少有 1GB 的 RAM。
如果多 Directory Server 實例的安裝移除了解除安裝程式,就無法解除安裝外掛程式。(4916035)
如果兩個 Directory Server 實例的檔案系統安裝根目錄相同 (例如,/usr/sunone/servers/slapd-foxhead 與 /usr/sunone/servers/slapd-foxhead2),則您無法解除安裝多個外掛程式。
解決方法:
1. 開啟 Directory Server 主控台 (用於安裝有外掛程式的 Directory Server)。
2. 按一下「配置」標籤。
3. 連按兩下 Plugins 資料夾展開外掛程式樹狀結構。
4. 按一下 pswsync 並取消核取「啟用外掛程式」核取方塊。
5. 重新啟動 Directory Server。
如果在安裝完成前取消安裝,然後嘗試再次重新安裝,Active Directory 連接器會出現不可確定的行為。(5038905)
如果安裝程式在配置連接器時被取消,然後再次執行安裝程式時,將無法使用連接器選項。
解決方法
從指令行提示符號處執行 idsync resetconn,重設連接器的配置,然後重新執行安裝程式或重新安裝連接器。有關執行 idsync resetconn 指令的詳情,請參閱《Sun Java System Identity Synchronization for Windows 安裝與配置指南》。解除安裝產品時,未移除產品附屬的登錄機碼。(5045237)
執行核心元件的解除安裝之後,並沒有移除產品登錄檔案中的 Sun Java System Identity Synchronization for Windows 相關節點。為了順利解除安裝本產品,您必須從產品登錄機碼中手動移除節點。有關移除這些產品登錄機碼的詳情,請參閱《Identity Synchronization for Windows 安裝與配置指南》。這種情況只會在 Solaris 8 系統中發生。
當核心元件已經解除安裝,卻未連接配置登錄時,主控台中就會顯示 Identity Synchronization for Windows 相關參照。(5049700)
執行完 Identity Synchronization for Windows 的隨機式解除安裝 (未與配置登錄連接) 後啟動「主控台」時,會顯示錯誤訊息。
記錄了安裝日誌的「temp」目錄可能是隱藏目錄。(5051905)
某些 Window 系統中 C:\ Documents and Settings > Administrator > Local Settings 下的資料夾可能是隱藏資料夾。
解決方法
若要檢視 Local Setting 資料夾和 Temp 子資料夾,應選取 Windows 檔案總管中的顯示隱藏檔案選項。或者,在指令提示符號處鍵入 cd %TEMP 或 cd %TMP 以檢視目錄中與安裝相關的日誌檔案。然後就可以使用「記事本」來檢視日誌。如果根字尾包含空格,Message Queue 代理程式的身份驗證就會失敗。(4892903)
由於 Message Queue 本身的限制,Identity Synchronization for Windows 配置必須儲存在沒有任何空格的根字尾中。
解決方法
安裝「核心元件」前先建立新的根字尾來儲存 Identity Synchronization for Windows 配置。Directory Server 外掛程式安裝失敗之後,「待辦事項」清單中會顯示外掛程式的安裝已完成。(5081912)
在某些情況下,即使 Directory Server 外掛程式的安裝實際上已失敗,「待辦事項」清單中還是會顯示 Directory Server 外掛程式已經安裝。
解除安裝連接器時,解除安裝程式不會準確顯示它將還原的磁碟空間。(5081823)
解除安裝連接器時,解除安裝程式會不正確地顯示 0 位元組 (作為解除安裝程序完成之後它將還原的位元組數)。檢視磁碟空間的內容時,實際還原的磁碟空間大小不會為零。
安裝程式不會強制您在 Directory Server 外掛程式安裝目錄所在的目錄下安裝元件。(5080178)
如果 Directory Server 外掛程式是電腦上安裝的第一個元件,則該台電腦上的所有後續元件都必須安裝在同一個 (Directory Server 外掛程式的) 安裝目錄下。不過,安裝程式在安裝期間不會強制套用此準則。
解除安裝元件時,解除安裝程式可能會顯示不正確的資訊。(5079489)
當從未安裝核心元件的電腦上解除安裝連接器時,安裝程式會錯誤地報告它正在解除安裝核心元件。您可忽略此訊息。
如果在配置目錄並不存在的情況下執行解除安裝程序,不會移除 Identity Synchronization for Windows 主控台參照。(5077156)
如果選取的選項是解除安裝本產品而不解除安裝配置目錄,則 Sun Server 主控台會保留所有對 Identity Synchronization for Windows 主控台的參照。解除安裝本產品之後,Identity Synchronization for Windows 的圖示將繼續留在拓樸樹狀結構中。嘗試顯示主控台時發生錯誤。有關移除主控台參照的詳細資訊,請參閱《Identity Synchronization for Windows 安裝與配置指南》第八章的〈手動解除安裝主控台〉一節。
解除安裝並不會移除 "server-root/isw-*/lib" 目錄和 jar 檔案。(5038284)
解除安裝作業不會移除包含 *.jar 檔案的 lib 目錄。必須手動移除這些檔案和目錄。
當安裝作業被取消,然後再重新安裝時,Active Directory 連接器出現不確定行為。(5038905)
安裝 Active Directory 連接器時,如果突然取消安裝作業,然後再嘗試重新安裝連接器,Active Directory 連接器會顯示「已安裝」的不正確狀態。此狀態不會改變,並且同步化作業也不會執行,同時也無法重新安裝 Active Directory 連接器 (嘗試重裝連接器時)。
解決方法
必須執行 idsync resetconn 指令才能重新安裝連接器。有關執行 idsync resetconn 指令的詳情,請參閱《Identity Synchronization for Windows 安裝與配置手冊》。在隨 Sun Java Enterprise System 3 一起安裝的 Directory Server 5.2p3 上安裝 Identity Synchronization for Window 時失敗。(5092530)
您無法在 Directory Server 5.2 P3 或更新版本的系統上安裝核心 Identity Synchronization for Windows 產品。Identity Synchronization for Windows 1 2004Q3 僅支援將 Sun Java Enterprise System 3 (Directory Server 5.2 P3) 作為資料同步化來源。
安裝清單提示在輔助伺服器上安裝 Directory Server 外掛程式,即使在安裝了該外掛程式後仍是如此。(5096593)
「待辦事項」清單通常是準確無誤的,但有時它還是無法呈報有求執行的步驟,也無法確定某些步驟已經執行過。例如,它不見得總是能夠顯示哪些 Directory Server 外掛程式已經安裝或需要安裝。
在 FAT32 系統上安裝 Identity Synchronization for Windows 時,沒有產生存取控制清單 (ACL)。(5097751)
將 Identity Synchronization for Windows 安裝在以 FAT32 格式化的磁碟中之後,當您檢查 ACL 中的資料夾與檔案時,發現 ACL 並不存在。建議您不要在非 NTFS 格式的分割區中進行安裝。
使用 Directory Server 壓縮保存檔版本時,只解除安裝外掛程式的作業可能失敗。(5101589)
嘗試執行只解除安裝外掛程式的作業時,如果使用 Directory Server 的壓縮保存檔套件,則該作業失敗。
系統提示輸入使用者名稱時,如果使用多位元組的管理員名稱,則安裝作業會失敗。(5109332)
安裝核心元件時,如果在系統提示時輸入了多位元組的 LDAP 管理員名稱,安裝作業會失敗。顯示錯誤訊息「安裝程式無法上傳綱目檔案 /var/opt/isw/SUNWisw/misc/40so-psw.out.ldif。請檢查安裝程式的日誌檔案以取得進一步資訊」。安裝程序中斷,對話方塊視窗也會突然消失。
解決方法
請確保您使用的是安裝作業預設的 "admin" LDAP 管理名稱,以避免發生此問題。如果之前的安裝失敗,請使用預設的 admin 名稱來重新啟動安裝程式並重新安裝核心元件。可能會顯示訊息「在您的電腦上發現核心元件檔案」。您可安心略過此訊息。可繼續執行其餘的安裝作業。連接器與外掛程式
刪除現有的項目會啟動 NT 連接器同步化。(4864009)
以現有 Windows 使用者 (Active Directory 或 NT) 進行的安裝必須在啟動同步化前先執行 idsync resync 指令,才能避免非定義的行為 (例如隨時使現有 Windows 使用者與 Directory Server 同步化) 發生。
如果,連接器處於非作用中狀態,請重新啟動連接器。(4938309)
如果中央錯誤日誌報告的訊息類似「連接器 [CNN100] 10 分鐘無回應」,您可能必須停止然後重新啟動正在執行連接器的 Identity Synchronization for Windows 常駐程式/服務。
解決方法
啟用 Directory Server 外掛程式的「安全資料傳輸層」之後,重新啟動 Directory Server。(4944804)
您必須在啟用 Directory Server 外掛程式 (子元件) 的「安全資料傳輸層」(SSL) 之後,重新啟動 Directory Server,然後將 Active Directory CA 憑證加入 Directory Server 的憑證資料庫中,否則 OnDemand 同步化將無法對 Active Directory 密碼已經變更的使用者進行身份驗證 (請參閱範例日誌訊息)。
如果 Active Directory 搜尋逾時,管理員應增加搜尋的限制時間。(4881182)
如果 Active Directory 錯誤日誌報告「連接器超出時間限制」的錯誤,請在 Windows 2000 資源套件中使用 ntdsutil,以如下方式將搜尋逾時時間增加到最長時間:
C:dif>ntdsutil
ntdsutil:ldap policies
ldap policy:connections
server connections:set creds example.sun.com administrator password
server connections:connect to server matar
Binding to matar as user(administrator) in domain(example.sun.com) ...
Connected to matar as user(administrator) in domain(example.sun.com) ...server connections:quit
ldap policy:show values
ldap policy:Set InitRecvTimeout to 2400
ldap policy:Commit Changes
Sun Java System Directory Server 將不會處理未使用 ;binary 子類型建立的二進位值屬性。(5029226)
某些屬性 (例如 userCertificate) 需要在建立實例時使用 ;binary 選項。Identity Synchronization for Windows 可同步化這類屬性的值,但不會在建立實例時設定 ;binary 選項。這樣可能會造成用戶端與 Sun Java System Directory Server 之間的通訊問題。如果建立屬性時沒有使用二進位選項,而用戶端請求使用二進位選項的屬性,則 Sun Java System Directory Server 不會傳回這樣的屬性。
Identity Synchronization for Windows 不會驗證建立 user_name 屬性時使用的字元數。(5021886)
NT SAM 對「user_name」屬性的字元限制為 20 個字元,不過,Sun Java Directory Server 對於用來建立使用者名稱的字元數沒有限制。對映於 NT SAM 上「user_name」屬性的項目雖然可成功地從 NT SAM 傳遞至 Sun Java Directory Server,卻仍無法使用。在 NT SAM 上編輯或檢視該項目的屬性時,會顯示錯誤訊息。
主控台與指令行
如果重新建立、損毀或遺失了 Retro Change Log 資料庫檔案,則執行 idsync prepds。(4921114 和 4832355)
如果 Retro Change Log (RCL) 資料庫已遭刪除或損毀,Directory Server 或 Directory Server 連接器將發出警告訊息。當您看見這些訊息時,必須在繼續進行同步化之前,重新建立 Retro Changelog,然後重新執行 idsync prepds 指令。
選擇新的命名上下文之後,基本 DN 的瀏覽按鈕選擇沒有改變。(4944711)
如果您從主控台中配置 Identity Synchronization for Windows,使其使用多個 Directory Server 來源和兩個以上的 Active Directory (AD) 來源,當您配置新的「同步化使用者清單」(SUL) 時,代表基本 DN 的「瀏覽」按鈕的選擇不會正確地反映相應的 Directory Server 或 Active Directory 來源。
解決方法
手動將基本 DN 名稱輸入「基本 DN」欄位中。主控台綱目主機應指向配置目錄。(4877996)
指定綱目主機時,建議您只使用核心配置目錄。請勿使用單機作業的 Directory Server 或任何其他遠端的配置目錄。
「主控台狀態」視窗不能執行 508 存取以檢視日誌檔案。(4874361)
「主控台狀態」視窗中的「日誌檔案檢視器」不允許使用無滑鼠介面來檢視日誌檔案。
解決方法
若要檢視日誌檔案,請將檔案複製到喜好的文字編輯器中 (「主控台日誌檢視器」外部)。Message Queue 的主控台狀態未正確指出系統元件的正確狀態。(4937312)
如果主控台與 MessageBroker 之間的網路連線中斷,主控台會不正確地報告系統元件的狀態。
解決方法
如果發生網路問題,請務必重新啟動主控台。您也可以執行 idsync printstat 指令以接收更準確的訊息佇列狀態檢視。在新增 Directory Server 資料來源時,雖然已經備妥 Directory Server ,系統還是會顯示一則提示訊息,要求備妥 Directory Server 。(5029558)
每當您建立一個新的 Sun Java System Directory Server 來源時,都會出現提示訊息,要求您備妥 Directory Server 來源。如果您已經備妥目錄來源,則可以放心地按一下選項「否」。
執行 CLI 指令 resetconn 時顯示訊息「重設中...」。密碼重設會失敗,且關於 Directory Server 來源、配置等所有資訊都會被移除。(5039655)
執行 resetconn 指令行功能時,主控台不應處於執行中狀態。如果不在執行此指令前先結束主控台,就會顯示訊息「重設中...」。您應立即結束主控台,然後再重新啟動它。
「startsync」指令無法執行。顯示錯誤訊息「無法為某些要求的目錄服務啟動同步化...」。(5050443)
在某些情況下 (例如記憶體不足時),指令行或管理主控台可能會報告「啟動同步化」成功,即使某些元件並不能啟動同步化功能。如果您遇到同步化問題,請查看錯誤日誌中與記憶體相關的訊息。
針對單一值屬性而存在多個值時,參數化屬性失敗。(5069907)
如果為單一值屬性指定多個值,而非指定單個值,同步化就會失敗。在將這些值儲存到 Directory Server 中時,不會顯示錯誤也不顯示警告訊息。
執行 idsync 指令時,在螢幕上以明文顯示密碼。(4900126)
如果 idsync 指令提示在輸入密碼時使用連結密碼和配置密碼,則密碼會顯示成明文,且不會被加密。
解決方法
若要避免密碼在螢幕上顯示,請將各個密碼存放在受保護的檔案中,然後將其重新導入指令行中。如果有任何密碼引數附帶 "-" 選項,則 idsync 指令會提示您按照選項出現在指令行上的順序來輸入密碼。例如,如果管理員密碼為 adminPw,而配置密碼為 configPw,然後建立一個檔案 (passwords.txt),其內容如下所示:
adminPw
configPw
然後執行 idsync printstat -w - -q - < passwords.txt 以執行該指令。載入日誌檔案時出錯。(5091787)
在某些情況下,當您在「狀態」標籤的「主控台」中載入 audit.log 檔案時,可能會顯示下列錯誤:「由於發生不明錯誤,無法擷取日誌項目。可能需要重新啟動 Admin Server。」
解決方法
之後再嘗試載入並存取 audit.log 檔案時,就會將該檔案載入。在進行移轉時,Prepds 顯示 MMR 設定的錯誤訊息。(5093124)
移轉複寫的環境時,idsync prepds 可能會不正確地呈報綱目複製已失敗。(例如,可能會出現如下錯誤訊息:「位於 ldap://preferred.example.com:389 上的喜好 Sun Java System Directory Server 無法將綱目變更複製到 ldap://secondary.example.com:389 上的輔助 Sun Java(TM) System Directory Server。請檢查複製設定」。) 在這種情況下,請以相同的引數再執行一次 idsync prepds。僅當第二次執行 idsync prepds 導致相同的錯誤訊息時,再檢查複製設定。
無法使用 Reflection X 10.0 來存取「主控台」。(5095013)
由於無法檢視其中的按鈕或文字方塊,也無法調整對話方塊的大小,因此某些對話方塊可能無法使用。
「主控台」中的日誌訊息顯示已損壞的多位元組字元。(6174184)
僅當使用了多位元組同步化使用者清單名稱或是正在同步化多位元組的字尾時,日誌中才會呈報多位元組字元。若要正確地檢視日誌訊息,請在顯示 UTF-8 編碼文件的檢視器內開啟日誌檔案 (/var/opt/SUNWisw/logs/central/error.log)。
當配置密碼已被變更後,startsync 和 stopsync 指令無法正常執行。顯示一則錯誤訊息。(6175396)
當使用 idsync changepw 指令變更了 Identity Synchronization for Windows 配置密碼,並且如果尚未重新啟動電腦,則 idsync startsync 和 stopsync 指令就無法正常執行。這些指令會顯示如下的錯誤訊息:「接收的訊息未加密。」並傳回結束代碼 1。
雖然顯示了錯誤訊息,但啟動/停止同步化作業仍會執行。若要檢驗這一點,請執行 idsync printstat 指令。不過,為了避免此問題發生,請確保在每次變更配置密碼之後均重新啟動電腦。
密碼同步化
密碼策略問題。(4834865 和 4811572)
如果同一個密碼策略用於不同的目錄,可能會導致同步化錯誤。例如密碼長度以及所需的最少與最多字元數。管理員必須手動變更不相容的密碼策略,以符合其他系統的密碼策略要求。
經過同步修改的對應屬性或密碼無法正常同步化。(4854183 和 4808601)
如果同步化了兩個目錄來源之間的某個項目,並對某個屬性進行了同步的修改,則該屬性可能無法正常同步化。例如,考慮下列一系列事件。
- John Smith 在 Active Directory (AD) 中將他的電話號碼改為 555-1111。
- 此項變更會傳播至 Directory Server,但在此變更抵達 Directory Server 前,管理員已經錯誤地將 Directory Server 中 John Smith 的電話號碼設為 555-1112。
- 接下來,在 Active Directory 中進行的變更套用於 Directory Server,使 John Smith 的電話號碼被設為 555-1111。
- 同樣地,在 Directory Server 中進行的變更也傳播至 AD,使 John Smith 的電話號碼被設為 555-1112。
同理,如果在差不多同時間修改使用者的 Active Directory (AD) 和 Directory Server 的密碼,則密碼在某些情形下可能無法正常地同步化。
在工作負荷量較輕的系統中,彼此的密碼修改動作都必須在幾秒內發生才可能變得不同步。雖然即使 AD 密碼在被設為 Directory Server 值之後還是有可能發生這種情形,但不太可能在 AD 密碼被設為 Directory Server 值的幾毫秒內就修改 AD 密碼。
使用 Active Directory 的「使用者下次登入時必須變更密碼」功能。(4827180)
如果管理員變更使用者的 Active Directory (AD) 密碼,並指定「使用者下次登入時必須變更密碼」,則密碼變更將不會與 Directory Server 同步化,直到使用者登入並變更他們的密碼為止。
使用者身份驗證在下列情況下將會失敗:
如果在啟用 7 位元的檢查外掛程式時,指定 NT 或 Active Directory 的非 ASCII 密碼將會使密碼無法與 Directory Server 同步化。(4817344)
Directory Server 按預設會啟用 7 位元的檢查外掛程式 (子元件) 來檢查使用者密碼屬性值。請參閱:http://docs.sun.com/source/816-6699-10/plugattr.html
如果您以 Windows 的密碼來同步化非純 7 位元的 Directory Server,然後啟用並配置此外掛程式來檢查使用者密碼屬性值,則同步化將會失敗。
您在同步化具有非 ASCII 字元的密碼時必須很小心,因為密碼值的字元編碼不是持續性的。因此,變更密碼時 (以及進行身份驗證時),Windows 用戶端和 Directory Server 用戶端必須使用相同的字元編碼方式,否則作業就會失敗。
不支援多個密碼值。(4807350)
不支援多個使用者密碼值。
重新啟動系統管理員時,Resync 不會自動恢復 resync 過程。(5077660)
當執行 resync 指令並且重新啟動系統管理員時,resync 不會自動恢復並重新啟動此過程。
執行重新同步化時,建立屬性可能會遭刪除。(5085134)
對某個屬性所作的同步更新不會被同步化。(5077760)
當將某個值加入某一屬性中,並且幾乎是在同一時間在對應的遠端目錄項目的該屬性中也加入另一個不同的值時,就會發生這個問題。該屬性不會被同步化。
執行重新同步化時,即使重新同步化作業已經中斷,Directory Server 連接器也不會收到連結動作。(4985505)
當執行 resync -c -o Sun 時,會在 Active Directory 中建立了新使用者之後將 LINK 動作傳送到 Directory Server。雖然重新同步化作業已經中斷,Directory Server 連接器還是不會收到這些連結動作。目前,這些 LINK 動作收錄在說明所有 resync/linkusers 動作的同一個臨時性 MQ 主題中。
由於 Directory Server Retro-Change Log 外掛程式存在某一已知問題,無法在 Directory Server 和 Active Directory 之間同步化已刪除的項目。(5077814)
Directory Server Retro-ChangeLog 外掛程式可能未將已刪除項目的 dspswuserlink 儲存在外掛程式項目中。如果發生這個問題,就無法將 Directory Server 項目中的已刪除項目同步到 Active Directory 中。
解決方法
為解決此問題,請確定您已經使用可解決此問題的修補程式更新了 Directory Server。有關解決此問題所需之修補程式的資訊,請參閱Sun Java System Directory Server 5 2004Q2 Rectrochangelog 修補程式一節。Sun Java System Message Queue
系統管理員無法連線至 Message Queue。(4907711)
系統管理員無法連線至 Message Queue,且 Message Queue 已經啟動。
解決方法
重新啟動安裝有核心程式的 Identity Synchronization for Windows 服務/常駐程式。增加 Message Queue 代理程式的最大記憶體容量,以部署十萬名以上的使用者。(4924939)
Identity Synchronization for Windows 會配置 Message Queue 代理程式,使其預設使用最多 512 MB 的記憶體,此容量已經足以適應大多數的安裝方式。不過,如果要使安裝足以部署十萬名以上的使用者,您應將最大記憶體增加到至少 1 GB,才能確保有最佳的執行效能。如果要部署二十萬名以上的使用者,請將記憶體增加到 2 GB。
如果 Identity Synchronization for Windows 核心程式安裝在 Solaris 上,請按照下列步驟來增加 Message Queue 代理程式的記憶體限制:
如果 Identity Synchronization for Windows 核心程式安裝在 Windows 2000 上,請按照下列步驟來增加 Message Queue 代理程式的記憶體限制:
- 使用 Windows 服務管理控制台,停止 Message Queue 代理程式服務。
- 從 <installation-root>/isw-<machine-name>/imq/bin 目錄中,在指令行中發出 imqsvcadmin query 指令。其輸出結果類似下列結果:
Service iMQ Broker is installed.
Display name:iMQ Broker
Start Type:Automatic
Binary location:C:\sunone\servers\isw-example\imqin\imqbrokersvc
JREHome:c:/j2sdk1.4.2/jre/
VM Args:-Xmx512m
Broker Args:-passfile "C:/sunone/servers/isw-example/imq/etc/passfile.properties"
-DimqConnectionType=TLS -port 7676 -name psw-broker
- 將此指令的輸出結果儲存到檔案。
- 發出 imqsvcadmin remove 指令可解除安裝 Message Queue 代理程式服務。
- 在您繼續進行前,必須先重新啟動安裝有核心程式的 Windows 2000 電腦。
- 從 <installation-root>/isw-<machine-name>/imq/bin 目錄,使用您之前發出 imqsvcadmin query 指令之後儲存的輸出結果來發出下列指令。例如:
imqsvcadmin install -jrehome c:/j2sdk1.4.2/jre/ -vmargs -Xmx1024m -args "-passfile C:/sunone/servers/isw-example/imq/etc/passfile.properties -DimqConnectionType=TLS -port 7676 -name psw-broker"
此處:
- 使用 Windows 服務管理控制台來啟動 Message Queue 代理程式服務。
啟動與停止 Message Queue 代理程式。(4809493)
Windows 上的 Message Queue 代理程式會以服務的方式執行,而管理員可透過服務控制台面板來控制 Message Queue 代理程式服務。
若要啟動和停止代理程式,必須在安裝核心元件之後重新開機,因為必須重新啟動 Windows,服務管理員程序才能看到所需的 IMQ_JAVAHOME 環境變數。此情形只有在同時安裝 Message Queue 與核心元件時才會發生 (亦即不使用現有的 Message Queue)。
使用下列指令:
/etc/init.d/imq (stop 或 start)
無法在未安裝核心元件的電腦上使用 Message Queue。(4943576)
Identity Synchronization for Windows 核心元件與 Message Queue 必須安裝於同一台主機上。
一般問題
即使同步化順利啟動,仍可能存在錯誤。(4814324)
即使 idsync startsync 傳回成功訊息,您仍應檢查中央錯誤日誌,檢驗連接器是否能夠連線至它們的目錄來源。
強烈建議您將配置目錄與目錄來源另外置於其他 MMR 配置的 Directory Server 實例中。(4943470 和 4943480)
使用多主伺服器複製 (MMR) 配置時,Sun 強烈建議您將配置目錄與目錄來源另外置於其他 Directory Server 實例中,並在安裝 Identity Synchronization for Windows 之前 配置複製合約。
如果您指定同一個 Directory Server 實例作為配置目錄與喜好的 Directory Server (使用者資料),並在安裝 Identity Synchronization for Windows 之後才建立複製合約,則 Identity Synchronization for Windows 核心元件安裝所建立的綱目元素會被刪除。如果發生這種情形,Identity Synchronization for Windows 將不會執行。
解決方法
若要在不慎刪除它的情況下更新綱目:進行連結作業時使用的屬性應在 Directory Server 中索引化。(4814412)
使用 idsync resync (-f <filename> 選項) 連結使用者時,該指令會搜尋 Directory Server,尋找其中與 Active Directory 或 Windows NT 使用者相符的使用者。idsync resync 作業中使用的每個 Directory Server 屬性應予以索引化,以保持兩邊相同。
無法關閉中央記錄程式。(4945507 和 4933217)
雖然 Identity Synchronization for Windows 中央記錄程式 (記錄到檔案、syslog 或兩者中) 會讓您關閉記錄動作,但中央記錄程式仍會持續在之前指定的位置進行記錄。
例如,如果您從主控台指定 syslog 記錄 (在關閉檔案記錄的情況下),然後關閉 syslog 記錄,則程式將會繼續在 syslog 中進行記錄。例如,如果您從主控台指定檔案記錄 (在關閉 syslog 記錄的情況下),然後停用檔案記錄,則程式將會繼續在檔案日誌中進行記錄。
如果取消核取「將日誌寫入檔案中」,且從未使用 syslog,也會發生同樣的行為。在這種情形下,程式會繼續將日誌寫入目錄中。
重新啟動 Identity Synchronization for Windows 服務並沒有用處,記錄仍會繼續進行。
「同步化使用者清單」的「瀏覽」按鈕無法正常執行。(4944348)
如果您從同步化使用者清單 (SUL) 建立精靈或編輯器畫面中瀏覽以尋找基本 DN,最好使用「瀏覽」按鈕來覆核所得的基本 DN。在某些情況下,此按鈕會瀏覽錯誤的目錄,導致使用者獲得無效的基本 DN。
停用 Active Directory 上的使用者帳號。(4943785)
如果使用者使使用者帳號失效,然後變更他們的 Active Directory (AD) 密碼,他們就無法使用新密碼透過 AD 來進行身份驗證。不過,停用 AD 上的使用者帳號之後,他們仍能透過 Sun Java System Directory Server 登入。
變更配置目錄通訊埠。(4941271)
如果您變更目前用作 Identity Synchronization for Windows 配置目錄的 Sun Java System Directory Server 的通訊埠,則您也必須調整 Identity Synchronization for Windows 配置,這樣軟體才能辨認通訊埠變更,否則系統管理員與 Message Queue 代理程式將無法執行。
解決方法
- 在 <imq_installroot>\imq\var\instances\psw-broker\props\config.properties 中修改通訊埠。例如,imq.user_repository.ldap.server=<host>\:<port>
- 在 <isw_installroot>\resources\SystemManagerBootParams.cfg 中修改通訊埠
例如,<Parameter name="manager.configReg.hostPort" value="<port>"/>- 重新啟動 Message Queue 代理程式服務/常駐程式。
- 重新啟動 Identity Synchronization for Windows 服務/常駐程式。
對相異、具有多個值之屬性提供有限的支援。(4987930 和 4807260)
Identity Synchronization for Windows 對同步化相異、具有多個值的屬性只提供有限的支援,因為其結果是不定的。其限制條件如下:
- 具有多個值的屬性的值將被視為單一個體來同步化。例如,如果您將某個值加入具有多個值的屬性中,該屬性已經有四個值,則全部五個值將被視為單一個體而同步化,且對應的遠端屬性值將被設為這五個值。
- 當現有的使用者連結時,將不會自動同步化他們的屬性。當具有多個值的屬性變更時,遠端目錄來源中對應的屬性值會被覆寫為本機目錄來源的屬性值。例如,如果您將一個電話號碼加入 Active Directory (AD) 上原本為空的 telephoneNumber 屬性的項目中,則 Directory Server 中對應項目的 telephoneNumber 屬性將被設為此新值,覆寫任何現有的值。
- 對具有多個值的屬性所作的同步更新可能不會同步化。如果您將某個值新增到具有多個值的屬性中,並在大約同時間將一個不同的值新增到對應之遠端目錄項目中具有多個值的屬性中,則該屬性可能會變得不同步。此情形也會發生在僅具有單一值的屬性中。
- 修改或重新命名 cn 屬性時,cn 在 Directory Server 上是具有多個值的屬性類型,但在 AD 上是僅具有單一值的屬性類型。AD 使用此屬性類型 (及其值) 來為要重新命名或要修改的人員項目產生新的 DN。因為連接器並不知道要使用具多個值之 cn 的哪個值來建構新的 DN,所以依照預設連接器會傳送第一個值。因為第一個值通常不是正確值,所以重新命名或修改 AD 的作業會失敗。
[30/Jan/2004:16:41:14.831 -0600] WARNING 16 CNN100 dragon "The action does not have a single value for attribute cn.The corresponding user at the remote repository might not have been created with a corresponding attribute value, the attribute might have multiple values, or cn is not a significant or creation attribute for this directory source.See audit log for more information" (Action ID=CNN101-FA6784B526-787, SN=1)
Active Directory 會將說明屬性視為具有單一值的屬性,即使 AD 綱目將它們描述為具有多個值的屬性。(4938940)
當您使用具有多個值的說明屬性將項目新增到 Directory Server 時,下列 DSID-031D0809 錯誤將會顯示在 Active Directory (AD) 連接器的 audit.log 中:
[16/Oct/2003:10:02:54.998 -0500] SEVERE 29 CNN101 dragon "Unable to create user "cn=Aaccf Amar1072,cn=users,dc=example,dc=sun,dc=com" at ldaps://starlingvm0.example.sun.com:636. LDAP add operation failed.Error code:19, reason:00002081: AtrErr:DSID-031D0809, #1:0: 00002081: DSID-031D0809, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att d (description)
" (Action ID=CNN100-F841CDBF2A-2568, SN=8)該項目將存在於 Directory Server 中,但不存在於 AD 中。
此問題似乎是 Active Directory 的缺陷所造成的。有關詳細資訊,請參閱下列 Microsoft Knowledge Base 中的文章 (286760):
http://support.microsoft.com/default.aspx?scid=kb;en-us;286760&Product=win2000
解決方法
將該項目從 Directory Server 中移除,使說明屬性成為單一值的屬性,然後再將該屬性重新加入。此外,請勿在「定義建立屬性對映與數值」對話方塊中初始化多個說明屬性。
當安全資料傳輸層憑證不受信任時,外掛程式不發出錯誤訊息。(4924027 和 4924705)
使用多主伺服器複製 (MMR) 配置時,如果 Identity Synchronization for Windows 外掛程式 (子元件) 正在使用安全資料傳輸層 (SSL) 進行通訊,而 SSL 問題造成通訊失敗,而外掛程式沒有提供錯誤訊息,則正在執行外掛程式之 Directory Server 的憑證資料庫可能會缺少對等伺服器之憑證的 CA 憑證 (此處的對等伺服器可能是喜好的主伺服器、輔助伺服器或是 Active Directory)。
您可使用 idsync certinfo 指令行公用程式來確定缺少的憑證。此公用程式可確定個資料庫需要哪些憑證 (產品需要哪些憑證)。
在 Sun Java System Directory Server 中建立的使用者應包含「同步化使用者清單」篩選器中的全部屬性。(4900568)
如果您要將在 Sun Java System Directory Server 中進行的建立動作傳遞至 Windows,使兩方的建立動作同步,且 Directory Server「同步化使用者清單」(SUL) 定義包含篩選器,那麼請嘗試建立一個屬性值不符合 SUL 篩選器的項目,該項目的建立將不會傳播出去,因為其屬性並不包含在 SUL 中。然後,因為原始的建立動作並沒有傳播出去,該 Directory Server 項目不會出現在 Windows 端。
解決方法
當這種情形發生時,就會記錄一項警告,管理員必須執行 idsync resync -c -o Sun 才能在 Windows 上建立該 Directory Server 項目。如果您修改該項目,使屬性符合 SUL 篩選器,則對項目所作的修改將會傳播至 Windows 端。
NetBIOS 導致隨需同步化延遲。(4876741)
如果嘗試使用 Windows 2000 上的 Directory Server 和核心元件配置來同步化兩個 Active Directory (AD) 網域,會在當 Directory Server 外掛程式的隨需密碼同步化功能與 AD 進行通訊時造成延遲。針對 AD 進行的大多數查詢通常需要幾毫秒的時間。封包追蹤程式找到一些異常的 NBNS (NetBIOS 名稱服務) 封包。
解決方法
若要解決此問題,您必須存取 Directory Server 電腦上的 TCP/IP 設定,並透過 TCP/IP 停用 NetBIOS。訊息匯流排所用的 Identity Synchronization for Windows 名稱空間 (主題)。(4827081)
此外
從「通用類別目錄」或「配置目錄」對話方塊指定主機需要耗費較長時間。(4826109 和 4812651)
當您指定無法解析的主機時,不會出現任何進度指示器 (例如游標忙碌或狀態列) 指出某項作業正在執行中。
NT 使用者名稱必須唯一。(4825636)
在 Directory Server 中建立使用者並將此建立動作傳播至 NT 時,您必須確保對映於 USER_NAME 的 Directory Server 屬性的值是唯一的。
建議使用者使用存取控制清單 (ACL) 來保護 XML 配置檔案的安全。(4812824)
將檔案層級保護用於 XML 配置檔案。這些檔案可能包含明文密碼值,因此您應使用它們所屬之系統提供的機制來保護它們的安全,例如檔案層級的 ACL。
支援的「同步化使用者清單」與資料庫關係。(4811577)
Identity Synchronization for Windows 只支援單一 Directory Server 資料庫。您必須將所有「同步化使用者清單」納入單個 Directory Server 資料庫之下。
日誌的數量可能無限地增加。(4807451)
除非您儲存或刪除舊日誌,否則 Identity Synchronization for Windows 中各個日誌檔案類型的數量將會無限地增加 (一天一個日誌檔案)。
日誌是以下列格式命名的:
下列日誌會保留下來:
這些日誌位於下列位置:
Active Directory 與 Directory Server 中具有特殊字元的項目不同步。(4816867)
當 uid 中使用一或多個特殊字元時,不僅 Identity Synchronization for Windows 無法解析特殊字元 (由於對映限制),Active Directory (AD) 也無法建立使用者。
AD 主控台無法讓您建立下列「使用者登入名稱」,如果
useraccountcontrol 屬性預設值會阻止您建立非使用者的 Active Directory 物件類別。(5043156)
如果為新使用者所選的物件類別無法使用 useraccountcontrol 屬性,則無法在 Active Directory 中建立使用者。此限制條件不適用於當使用者物件類別或使用者衍生出的任何其他物件類別允許在 Active Directory 中使用 useraccountcontrol 屬性的情形。
解決方法
使用 Directory Server 主控台來編輯配置使用者。找出並移除 useraccountcontrol 屬性。例如:
dn:cn=130,ou=AttributeDescriptions,cn=active[2],ou=GlobalConfig,ou=1.1,ou=Ide
ntitySynchronization,ou=Services,dc=central,dc=sun,dc=com
pswVersion: 2
pswName:useraccountcontrol
pswSyntax: 1.3.6.1.4.1.1466.115.121.1.5
pswValue: 512
pswPreferCreationAttributeDefaultToAction:false
cn: 130
objectClass:pswattributedescription
objectClass:top同時也要編輯 useraccountcontrol 屬性的所有參照,特別是 Active Directory 通用綱目之 pswCreationAttributeDefaultRef 屬性的參照。
例如:
dn:cn=127,ou=ActiveDirectory,ou=Globals,cn=active[2],ou=GlobalConfig,ou=1.1,o
u=IdentitySynchronization,ou=Services,dc=central,dc=sun,dc=com無法對預設值進行驗證。(5051725)
可為屬性指定預設值,也可以在建立屬性時將其預設值套用於目錄項目 (請參閱《Sun Java System Identity Synchronization for Windows 安裝與配置指南》中的「建立屬性」)。目前無法對您指定的屬性值執行驗證。在同步化項目時為僅有單一值的屬性指定多個值將會造成物件建立失敗。指定屬性值時,請確定您指定的值符合您的企業的 LDAP 綱目。
使用者出現在「同步化使用者清單」(SUL) 中時,修改的處理不一致。(4970664)
如果某位使用者因某項修改而成為任何「同步化使用者清單」(SUL) 中的一員 (例如,SUL 有一個「l=Austin」的篩選器,且已修改使用者,將其屬性 l 設為 Austin),則 Sun Java System Identity Synchronization for Windows 會在 Active Directory 與在 Sun Java System Directory Server 中以不同方式來解讀此項使用者更新:
具有結構性物件類別 (沿用選定要同步化的物件類別) 的項目也一起同步化。(5046861)
例如,如果選取 organizationalperson 物件類別,則具有 inetorgperson 物件類別的使用者也會被同步化,因為 inetorgperson 是 organizationalperson 的子類別。
若要避免此情形發生,請在排除該子類別的 SUL 上包含一個篩選器:
(!(objectclass=inetorgperson))通常會在使用 resync 來同步化已刪除項目時導致問題,因為子類別也會被刪除。例如,如果 Active Directory 的 computer 物件類別是繼承自 user 類別的物件類別,則 computer 項目會被刪除,因為它們沒有對應的 Directory Server 項目。若要避免 computer 項目被同步化,請在排除這類項目的 SUL 上包含一個篩選器:
(!(objectclass=computer))系統不會在日誌檔案過期後自動將其移除。(5069020)
系統不會移除超過指定天數 (等待移除) 的日誌檔案。
對預設的建立屬性值的配置可能不正確,或是驗證邏輯失敗。(5066657)
如果 Directory Server 與 Active Directory 資料來源的建立屬性名稱相同,則在將預設值加入某個屬性名稱中時會自動將相同的預設值加入另一個來源。
解決方法
移除主控台中的建立屬性對映和建立屬性,然後再重新將其加入。儲存前,請執行下列操作:
如果對映屬性的名稱相同,且屬性的語法 (OID) - Active Directory 與 Directory Server 的綱目 - 相同,則請:useraccountcontrol 屬性的預設值會阻止您建立非使用者的 Active Directory 物件類別。(5043156)
如果為新使用者所選的物件類別無法使用 useraccountcontrol 屬性,則無法在 Active Directory 中建立使用者。使用者物件類別或使用者衍生出的任何其他物件類別允許在 Active Directory 中使用 useraccountcontrol 屬性,且不受此限制條件的影響。
無法將 InetOrgperson 與具有必填屬性的延伸類別相對映。(5091959)
例如,會顯示一條錯誤訊息:「未為 Active Directory 屬性 mail 指定任何 Sun 對映或數值」,其中 mail 是必填屬性,並且 mail 會對映至 Sun 的 mail 屬性。
《Identity Synchronization for Windows 安裝與配置手冊》並未提及「下一步」按鈕和「摘要」窗格的資訊。(5104768)
《Identity Synchronization for Windows 安裝與配置手冊》會在每次呼叫結束時指出,您必須使用「安裝摘要」窗格上的「關閉」按鈕來結束精靈。但是,該窗格上並沒有「關閉」按鈕的選項。您必須在「安裝摘要」窗格上按一下「下一步」按鈕,以進入說明其餘要執行之安裝與配置步驟的窗格。對於所有的非核心元件安裝作業,此窗格會顯示一個「完成」按鈕,按一下它即可結束精靈。對於核心元件安裝,此窗格會顯示一個「下一步」按鈕,按一下它即可進入另一個窗格,提示您是否要啟動主控台。在此窗格中,您可使用「完成」按鈕來結束安裝程式。
WAN 支援限制條件。(5097751)
Identity Synchronization for Windows 可部署於廣域網路 (WAN) 環境中,但有某些限制條件。
除了 Directory Server 外掛程式以外,所有的 Identity Synchronization for Windows 元件都必須安裝在同一個 LAN 中 (例如,同一台電腦上),也就是說,在 WAN 中不應傳輸任何 Message Queue 通訊。這些元件可透過具有 Directory Servers 或 Active Directory 網域控制器的 WAN 彼此通訊。
WAN 上的效能取決於延時情況和連結速度。我們建議至少使用 T1 (1.544Mbps) 的連線方式,並且每一連接器與其所管理的目錄之間的通訊延時不超過 300MS。在 Active Directory 和 Directory Server 由 WAN 分隔的部署中,透過在 Directory Server 所在的同一個 LAN 中安裝 Directory Server 連接器,並使 Active Directory 連接器透過 WAN 與 Active Directory 進行通訊,可達到較佳的效能。
可轉散發的檔案Sun Java System Identity Synchronization for Windows 1 2004Q3 不包含任何可轉散發的檔案。
如何報告問題與提供回饋如果您對 Sun Java System Identity Synchronization for Windows 有疑問,請使用下列任一機制來聯絡 Sun 客戶支援人員:
http://www.sun.com/service/sunone/software
此網站有連至知識庫 (Knowledge Base)、線上支援中心 (Online Support Center) 和產品追蹤中心 (ProductTracker) 的連結,還有維護程式與支援人員聯絡電話號碼的連結。
為了提供最好的服務,協助您解決問題,請在聯絡支援人員時備妥下列資訊:
Sun 歡迎您提出意見
Sun 致力於提昇其文件品質,並且歡迎您提供意見與建議。使用基於 web 的表單向 Sun 提供您的回饋意見:
http://www.sun.com/hwdocs/feedback/
請在相應的欄位中輸入完整的文件標題與文件號碼。文件號碼可在手冊的標題頁上,或是文件的最上方找到,通常是七位數或九位數的號碼。例如,Identity Synchronization for Windows 1 2004Q3 版 版本說明 的文件號碼為 817-7856。
其他 Sun 資源下列網際網路位置可找到對您有幫助的 Sun Java System 資訊:
- Sun Java System Identity Synchronization for Windows 1 2004Q3 文件
http://docs.sun.com/coll/S1_IdSyncForWin_1.0- Sun Java System 文件
http://docs.sun.com/prod/sunone- Sun Java System 專業服務
http://www.sun.com/service/sunps/sunone- Sun Java System 軟體產品與服務
http://www.sun.com/software- Sun Java System 軟體支援服務
http://www.sun.com/service/sunone/software- Sun Java System 支援和知識庫
http://www.sun.com/service/support/software- Sun 支援和培訓服務
http://training.sun.com- Sun Java System 諮詢和專業服務
http://www.sun.com/service/sunps/sunone- Sun Java System 開發人員資訊
http://sunonedev.sun.com- Sun 開發人員支援服務
http://www.sun.com/developers/support- Sun Java System 軟體培訓
http://www.sun.com/software/training- Sun 軟體資料表
http://wwws.sun.com/software
Copyright © 2004 Sun Microsystems, Inc.版權所有。
Sun Microsystems, Inc. 擁有本文件所說明之產品所應用的技術智慧財產權。特別是這些智慧財產權 (但不限於這些) 可能包含 http://www.sun.com/patents 所列示的一項或多項美國專利權,以及美國及其他國家中的一項或多項其他專利權或擱置的專利申請案。
SUN 資產/機密。
U.S. Government Rights - Commercial software. Government users are subject to the Sun Microsystems, Inc. standard license agreement and applicable provisions of the FAR and its supplements.
此發行可能包括協力廠商所開發的材料。
部份材料可能衍生自 CA 大學所授權的 Berkeley BSD 系統。
Sun、Sun Microsystems、Sun 標誌、Java 及 Solaris 是 Sun Microsystems, Inc. 在美國及其他國家的商標或註冊商標。所有 SPARC 商標皆是在授權下使用,且是 SPARC International, Inc. 在美國及其他國家的商標或註冊商標。