Sun™ ONE Directory Server 5.2 Versionshinweise

Version 5.2

Teilenummer 816-6878-10

Dezember 2003

Diese Versionshinweise enthalten wichtige Informationen, die zum Zeitpunkt der Herausgabe der Version 5.2 von Sun Open Net Environment (Sun ONE) Directory Server bekannt waren. In diesem Dokument werden neue Funktionen und Verbesserungen, bekannte Einschr�nkungen und Probleme, technische Hinweise und andere Informationen angesprochen, die Sie vor der Installation und Verwendung von Directory Server 5.2 lesen sollten.

Die neueste Ausgabe dieser Versionshinweise finden Sie auf der Sun ONE-Website f�r Dokumentationen unter http://docs.sun.com/doc/816-6878-10 st�ndig aktualisiert. Lesen Sie die Informationen auf dieser Website, bevor Sie die Software installieren und einrichten, sowie gelegentlich auch danach, damit Sie immer �ber die aktuellsten Versionshinweise und Handb�cher informiert sind.

In diesen Versionshinweisen werden die folgenden Themen behandelt:

�nderungsprotokoll
Einf�hrung in Directory Server Version 5.2
Neue Funktionen in Directory Server Version 5.2
Unterst�tzte Plattformen
Installationshinweise
Dokumentationsfehler und Aktualisierungen zur Directory Server-Dokumentation
Kompatibilit�t
Bekannte Probleme
Zugriff auf Produktdokumentation
Problemmeldungen und Feedback
Weitere Informationen �ber Sun-Ressourcen

---

�nderungsprotokoll

Tabelle 1  �nderungsprotokoll

Datum	Beschreibung der �nderungen
8. Dezember 2003	In der Directory Server 5.2-Produktversion des Sun JavaTM Enterprise System-Pakets wurden einige Probleme behoben. Weitere Informationen finden Sie unter Installationshinweise. Zus�tzliche Dokumentation f�r die Verwendung des Plug-Ins f�r referentielle Integrit�t mit Erbreplikation erforderlich (#4956596)
28. Oktober 2003	Aktualisierung der Dokumentationsfehler f�r Directory Server Resource Kit Tools Reference.
16. September 2003	Aktualisierung der Dokumentationsfehler f�r Administration Guide – Bestimmte nicht korrekt angegebene LDAP-Steuerelemente bez�glich der Verkettung. Aktualisierung der Dokumentationsfehler f�r Installation and Tuning Guide – HA-Dokumentation. Aktualisierung der Unterst�tzte Plattformen.
27. August 2003	�nderungen an der HTML-Version f�r den unter http://docs.sun.com/doc/816-6698-10/contents.html verf�gbaren Administration Guide. Zusatz f�r Installationshinweise (Vorsichtshinweis hinsichtlich der Verwendung des Administration Server-Passworts.)
11. Juli 2003	Das Changelog-Protokoll wird nicht standardm��ig bereinigt (#4881004) Multibyte-Zeichen bei der Installation verursachen Konfigurationsprobleme (#4882927) (�nderung zur Anwendung auf alle Sprachen, nicht nur auf die japanische Version).
26. Juni 2003	In Thema #4882801 wurde die Plattform angegeben
23. Juni 2003	Folgende Informationen wurden hinzugef�gt: Hinweis zur Schreibf�higkeit und Multimaster-Replikation Hinweis zur Initialisierung von Replikaten in einem Multimaster-Replikationsszenarium Problem mit Multibyte-Zeichen bei Installation der japanischen Version (#4882927) Problem mit Multibyte-Zeichen in Suffixen bei herk�mmlicher chinesischer Version (#4882801) Hinweis zur Verf�gbarkeit der lokalisierten Dokumentation Zusatz zu Fehlern im Administration Guide
10. Juni 2003	Beschreibung des Problems mit japanischen L�nderinformationen auf HP-UX-Systemen wurde hinzugef�gt
6. Juni 2003	Erste Fassung dieser Versionshinweise wurde freigegeben

---

Einf�hrung in Directory Server Version 5.2

Bei Sun ONE Directory Server 5.2 handelt es sich um einen leistungsstarken und skalierbaren, verteilten Verzeichnisserver, der auf dem Industriestandard Lightweight Directory Access Protocol (LDAP) basiert. Die Sun ONE Directory Server-Software ist Teil von Sun ONE, der standard-basierten Softwarevision, Architektur und Plattform von Sun f�r die Entwicklung und Bereitstellung von bedarfsgerechten Diensten.

---

Neue Funktionen in Directory Server Version 5.2

Sun ONE Directory Server 5.2 enth�lt die folgenden neuen Funktionen und Verbesserungen:

Aktualisierte und verbesserte Serververwaltungskonsole

Die Benutzeroberfl�che der Directory Server-Konsole f�r die Replikationskonfiguration wurde vereinfacht. Au�erdem unterst�tzt die Konsole nun IP 6. Weitere Informationen zur neuen Konsole erhalten Sie im Abschnitt „Using the Directory Server Console“ in Kapitel 1 des Sun ONE Directory Server Administration Guide.

Verbesserte Replikationsfunktionalit�t

Folgende Replikationsfunktionen sind neu:

Unterst�tzung f�r Multimaster-Replikation in vier Richtungen

Bei der Entwicklung der Multimaster-Replikation wurde an erster Stelle an eine hohe Verf�gbarkeit gedacht. Durch das Hinzuf�gen von Master-Replikaten erh�ht sich bei einigen Implementierungen f�r die Replikationstopologie auch die Gesamtzahl der Schreibzugriffe betr�chtlich. Solche Implementierungen beinhalten in der Regel Anwendungen, die lokal wiederverwendete Verzeichnisdaten schreiben m�ssen. Die Konvergierung von Datenaktualisierungen �ber die gesamte Topologie erfolgt in diesen Implementierungen meist langsamer.

Die Konsistenthaltung der Daten �ber mehrere Server ist im Allgemeinen mit hohen Kosten verbunden. Wenn Sie eine hohe Datenkonsistenz und eine schnelle Konvergenz innerhalb der gesamten Replikationstopologie ben�tigen, l�sst sich der Schreibdurchsatz insgesamt nicht allein durch ein paar weitere Server erh�hen.

Unterst�tzung f�r Multimaster-Replikation �ber WAN
Herauf- und Zur�ckstufen von Servern online
Fraktionierte Replikation (Replikation von Attributteils�tzen)
Die folgenden Replikations�berwachungsfunktionen:

insync – gibt den Synchronisierungsstatus zwischen einem Master-Replikat und einem oder mehreren Verbraucherreplikaten an.

entrycmp – vergleicht die Attribute und Werte des gleichen Eintrags auf zwei verschiedenen Servern.

repldisc – untersucht die Replikationstopologie, erstellt ein Diagramm aller bekannten Server und beschreibt die Topologie in einer Matrix.

Diese Funktionen sind kompatibel mit Directory Server 5.1 Service Pack 1 und 2.

Verbessertes Replikationsfailover
Verbesserte Replikation gleichzeitiger Aktualisierungen

Ein Verbraucher akzeptiert gleichzeitige �nderungen von mehreren Anbietern.

Innerhalb einer Replikationssitzung k�nnen mehrere Aktualisierungen gleichzeitig laufen.

Hinweis	Ein Master, der innerhalb einer Multimaster-Konfiguration von einem anderen Master initialisiert wurde, verarbeitet zwar Replikationsaktualisierungen und erlaubt Lesezugriffe, gibt aber f�r alle von Clients initiierten Schreibvorg�nge Bez�ge zur�ck. Zur Aktivierung des Lese-/Schreibmodus auf einem Master setzen Sie das Konfigurationsattribut ds5BeginReplicaAcceptUpdates auf start. Dieses Attribut l�sst Aktualisierungen explizit zu. Zuvor sollten Sie allerdings sicherstellen, dass das neue Master-Replikat mit den anderen Mastern konvergiert wurde. Die Zulassung von Aktualisierungen k�nnen Sie entweder im Bereich „Replikationskonfiguration“ der Directory Server-Konsole oder �ber die Befehlszeile einrichten. Weitere Informationen finden Sie im Abschnitt „Initializing Replicas“ des Sun ONE Directory Server Administration Guide.

Verzeichniszugriff �ber DSML 2/SOAP
Unterst�tzung f�r IPv6
Unterst�tzung eines gro�en Cache (64 Bit)
M�glichkeit f�r LDAP-Clients, ihre effektiven Zugriffsrechte abzurufen
Vereinfachte Migration von Version 4.x oder 5.x auf 5.2
Richtlinien f�r mehrere Passw�rter
M�glichkeit, neben Passw�rtern auch andere Attribute zu verschl�sseln
Interaktives Installationsprogramm f�r die Benutzeroberfl�che
Unterst�tzung f�r StartTLS unter Windows
Verbesserte Fehlerprotokollierung
Flexibler G�ltigkeitsbereich f�r Rollen
M�glichkeit, in Suchfiltern virtuelle Attribute einzusetzen
Unterst�tzung f�r das Sun Crypto Accelerator 1000 Board
Leistungsverbesserungen
Erweitertes Bin�r-Kopieren

Erm�glicht das Klonen von Master- oder Verbraucherreplikaten; dazu werden die bin�ren Sicherungsdateien eines Servers zur Wiederherstellung eines identischen Verzeichnisinhalts auf einem anderen Server verwendet.

Verbesserte Produktdokumentation

Zum Dokumentationssatz f�r Version 5.2 geh�ren die folgenden neuen Handb�cher:

Installation and Tuning Guide
Getting Started Guide
Plug-In API Programming Guide
Plug-In API Reference

Au�erdem wurde die vorhandene Dokumentation �berarbeitet. Wichtige �nderungen sind:

Beschreibung der Fehlercodes im Referenzhandbuch.
Neue Beschreibung der Replikation in den Implementierungs-, Administrations- und Referenzhandb�chern.
Informationen �ber die neuen Passwortrichtlinien und die Attributverschl�sselung in den Implementierungs- und Administrationshandb�chern.
Die Produktdokumentation wird nicht mehr mit dem Produkt installiert, sondern kann von der Produkt-CD oder im Web abgerufen werden.

Aufgrund der architektonischen �nderungen in Directory Server 5.2 stehen die folgenden Funktionen aus Directory Server 4.x nicht mehr zur Verf�gung:

Passwortsynchronisierung mit Windows. Diese Funktion wurde durch das Produkt Sun ONE Identity Synchronization for Windows ersetzt. Version 1.0 dieser Software wird bald nach der Freigabe von Sun ONE Directory Server 5.2 zur Verf�gung stehen.
Datenbank-Back-End-Plug-In-Schnittstelle. An Stelle dieser Schnittstelle k�nnen zur Implementierung von Plug-Ins, die Zugriff auf alternative Verzeichnisdatenspeicher erm�glichen, die erweiterten, vor der Ausf�hrung einsetzbaren Schnittstellen verwendet werden.
Au�erdem wird sich die Architektur und Funktionalit�t des Distribution-Plug-Ins in zuk�nftigen Versionen von Directory Server erheblich �ndern.

---

Unterst�tzte Plattformen

Directory Server 5.2 wird von folgenden Plattformen unterst�tzt:

Sun Solaris 8 f�r UltraSPARC (32 und 64 Bit)
Sun Solaris 9 f�r SPARC (32 und 64 Bit)
Sun Solaris 9 f�r x86 (IA-32)
Microsoft Windows 2000 Server und Advanced Server SP 3 (IA-32)
RedHat Linux 7.2 (IA-32)
Sun Linux 5.0 (Sun LX50)
Hewlett-Packard HP-UX 11.i PA-RISC 1.1 oder 2.0 (32 Bit und 64 Bit)
IBM AIX 5.1(Power PC) (32 Bit)

Hinweis	Sun ONE Directory Server 5.2 wurde mit Sun Cluster 3.1 validiert. Au�erdem wurde die Version mit Windows 2000 Service Pack 4 validiert.

Informationen zur Verf�gbarkeit von Directory Server unter dem Betriebssystem Compaq Tru64 erhalten Sie bei Ihrer Compaq-Vertretung.

Eventuell m�ssen vor der Installation von Directory Server 5.2 bestimmte Betriebssystem-Patches oder Service Packs installiert werden. Weitere Informationen hierzu erhalten Sie im Sun ONE Directory Server Installation and Tuning Guide. Solaris-Patches erhalten Sie auf der Sun-Website unter http://sunsolve.sun.com

---

Installationshinweise

Die Directory Server 5.2-Produktversion im Sun Java^TM Enterprise System-Paket umfasst die folgenden Verbesserungen und Programmfehlerbehebungen:
Directory Server-Programmfehler
VLV-Indizes funktionierten nicht ordnungsgem�� auf Sparc 64 (#4877307)
Zusammenf�hrung von VLV-Indizes ohne Eintr�ge nach Datenimport funktionierte nicht ordnungsgem�� (#4877894)
Die Objektklassen ieee802Device und bootableDevice waren nicht r�ckw�rtskompatibel (#4884562)
Der Server st�rzte bei der Aktivierung der Changelog-Beschneidung ab (#4891228)
Beim Serverstart wurde eine irrt�mliche inverse DNS-Anforderung ausgegeben (#4909592)
Der von Java Enterprise System und den zugeh�rigen Komponenten verwendete Speicherort f�r J2SE war nicht identisch mit dem von Directory Server verwendeten Speicherort f�r J2SE (#4924002)
Administration Server-Programmfehler
Die Konsole unterst�tzte keine umgekehrten Schr�gstriche im RDN (#4737629)
In den japanischen L�nderinformationen funktionierte die Schriftartenregisterkarte im Fenster der Konsolenvoreinstellungen nicht ordnungsgem�� (#4838530)
In den japanischen L�nderinformationen fehlten die Registerkarten f�r die CA-Zertifikate und die aufgehobenen Zertifikate im Fenster zum Verwalten der Zertifikate (#4865986)
In den japanischen L�nderinformationen war die Standardgr��e des Fensters zum Erstellen einer neuen Dom�ne zu klein (#4866621)
Bestimmte Fenster der Online-Hilfe hatten keine Funktion (#4866623)
Bei der Erstellung einer neuen Gruppe mit neuen Mitgliedern �ber die Konsole wurde ein LDAP-Ausnahmefehler verursacht (#4868083)
In allen asiatischen L�nderinformationen (Japanisch, Koreanisch, Chinesisch und Chinesisch-Taiwanesisch) funktionierte das Fenster der Online-Hilfe f�r die Konsolenanmeldung nicht ordnungsgem�� (#4868579)
In den chinesisch-taiwanesischen L�nderinformationen wurde der Inhalt der Online-Hilfe beim Klicken auf die Schaltfl�che zum Starten im Browser nicht angezeigt (#4881871)
Die Schaltfl�che f�r die Online-Hilfe im Fenster f�r die Konsolenanmeldung funktionierte nicht ordnungsgem�� (#4890502)

Weitere Informationen zu Sun Java Enterprise System finden Sie unter http://wwws.sun.com/software/learnabout/enterprisesystem/index.html.

Beim Ausf�hren von Administration Server als Root-Server werden alle vom Administration-Benutzer initiierten Befehle ebenfalls als Root-Befehle ausgef�hrt. Deshalb m�ssen Sie auf das Passwort dieselben Vertraulichkeits- und Sicherheitsregeln anwenden, die Sie f�r das Root-Passwort Ihres Servers verwenden w�rden.
Das Dienstprogramm idsktune liegt zum Zeitpunkt der Freigabe von Directory Server 5.2 in seiner aktuellen Version vor. Wenn neue Patches nach diesem Datum bereitgestellt werden, kann es daher zu Fehlern kommen.
Zur Installation auf Solaris-Systemen ist das Paket SUNWnisu erforderlich. Das Vorhandensein von SUNWnisu bedeutet aber nicht, dass Sie NIS verwenden m�ssen.
Leerzeichen im Installationspfad werden nicht unterst�tzt. Geben Sie in Ihrem Installationspfad daher keine Leerzeichen ein.
Wenn Sie Directory Server 5.2 aus einem Solaris-Paket installieren, sollten Sie als ServerRoot keine symbolische Verkn�pfung angeben. ServerRoot ist der Pfad, von dem aus Sie auf die freigegebenen Bin�rdateien von Directory Server, Sun ONE Administration Server und den Befehlszeilenprogrammen zugreifen. Falls Sie als ServerRoot eine symbolische Verkn�pfung angeben und danach versuchen, den Administration Server als anderer Benutzer als der Root-Benutzer zu starten, wird folgender Fehler ausgegeben:

You must be root to run this command

Die Schemadatei 11rfc2307.ldif wurde in Directory Server 5.2 an rfc2307 angepasst. Dieser Datei entsprechen die Dateien 10rfc2307.ldif (in Zip-Installationen der Version 5.1) und 11rfc23.ldif (in Solaris 5.1-Paketen). Anwendungen, die die veraltete 5.1er Version dieses Schemas verwenden, sind m�glicherweise von dieser �nderung betroffen. An der Datei wurden folgende �nderungen vorgenommen:
Die Attribute automount und automountInformation wurden entfernt.
Aus der Liste der zul�ssigen Attribute der Objektklasse ipHost wurde das Attribut o $ ou $ owner $ seeAlso $ serialNumber entfernt.
Aus der Liste der erforderlichen Attribute der Objektklasse ieee802Device wurde das Attribut cn entfernt.
Aus der Liste der zul�ssigen Attribute der Objektklasse ieee802Device wurde das Attribut description $ l $ o $ ou $ owner $ seeAlso $ serialNumber entfernt.
Aus der Liste der erforderlichen Attribute der Objektklasse bootableDevice wurde das Attribut cn entfernt.
Aus der Liste der zul�ssigen Attribute der Objektklasse bootableDevice wurde das Attribut description $ l $ o $ ou $ owner $ seeAlso $ serialNumber entfernt.
Die Objekt-ID der Objektklasse nisMap wurde in 1.3.6.1.1.1.2.9 ge�ndert.

Bei der Migration von Directory Server 5.1 auf 5.2 wird die alte Version dieser Datei migriert, um Inkonsistenzen zwischen dem Schema und der Datenbank zu verhindern. Wenn Sie diese Datei nicht bearbeitet haben und Ihre Datenbank nicht auf das in der Datei enthaltene Schema verweist, k�nnen Sie die Datei aus dem Schema der Version 5.1 entfernen, bevor Sie die Migration ausf�hren. Sie erhalten dann eine mit rfc2307 konforme Version der Datei.

Wenn Sie die Datei bearbeitet haben oder Ihre Datenbank auf das darin enthaltene Schema verweist, f�hren Sie die folgenden Schritte aus:

Entfernen Sie bei Zip-Installationen die Datei 10rfc2307.ldif aus dem Schemaverzeichnis der Version 5.1 und kopieren Sie die Datei 11rfc2307.ldif der Version 5.2 in das Schemaverzeichnis der Version 5.1. (In Directory Server Solaris-Paketen der Version 5.1 ist diese �nderung bereits enthalten.)
Kopieren Sie die folgenden Dateien aus dem Schemaverzeichnis der Version 5.2 in das Schemaverzeichnis der Version 5.1. Die alten Versionen dieser Dateien werden dabei ersetzt:
11rfc2307.ldif, 50ns-msg.ldif, 30ns-common.ldif, 50ns-directory.ldif, 50ns-mail.ldif, 50ns-mlm.ldif, 50ns-admin.ldif, 50ns-certificate.ldif, 50ns-netshare.ldif, 50ns-legacy.ldif und 20subscriber.ldif.

HINWEIS: Diese �nderung wirkt sich auch auf die Replikation aus. Weitere Informationen finden Sie im Abschnitt Replikation.

Wenn Sie die SASL Kerberos-Authentifizierung auf Solaris-Plattformen verwenden m�chten, muss DNS konfiguriert sein.
Auf Linux-Systemen sollten die Cache-Werte insgesamt 600 MB nicht �berschreiten.
Unter Windows wurde die Unterst�tzung f�r IP 6 nur oberfl�chlich getestet.
Bei der Deinstallation von Directory Server unter Windows sollte Ihnen bewusst sein, dass bestimmte grundlegende, von Directory Server verwendete Systembibliotheken unter Umst�nden auch von anderen installierten Programmen verwendet werden (z. B. nsldap32v50.dll). Bibliotheken, die von anderen Programmen verwendet werden, k�nnen Sie aus der Auswahl der zu deinstallierenden Komponenten entfernen.

---

Dokumentationsfehler und Aktualisierungen zur Directory Server-Dokumentation

Referenzhandbuch

Die Beschreibungen der Befehlszeilenskripte ldif2db, db2ldif und db2ldif.pl in Kapitel 2, „Command-Line Scripts“, sind falsch. Neben den bereits beschriebenen Optionen sollte jedes dieser Skripte die folgenden Optionen enthalten:

Tabelle 2  Weitere Optionen der Befehlszeilenskripte ldif2db, db2ldif und db2ldif.pl

Option	Bedeutung
-Y	Gibt das Passwort f�r die Schl�sseldatenbank (f�r die Attributverschl�sselung) an.
-y	Gibt die Datei an, in der das Passwort f�r die Schl�sseldatenbank (f�r die Attributverschl�sselung) gespeichert wird.

Plug-In API Programming Guide

In Kapitel 5, „Extending Client Request Handling“, wird die Verwendung von Plug-Ins vor oder nach der Ausf�hrung beschrieben. Dieser Abschnitt sollte den folgenden Hinweis enthalten:

Hinweis	Bei SASL-Authentifizierungsmechanismen werden Plug-Ins f�r vor oder nach der Bind-Ausf�hrung unter Umst�nden mehrmals w�hrend der gleichen Authentifizierungsanfrage aufgerufen. Dies passiert, wenn mehrere LDAP BIND-Vorg�nge zur Implementierung des Authentifizierungsmechanismus verwendet werden, wie es zum Beispiel bei DIGEST-MD5 der Fall ist.

Administration Guide

In Kapitel 3, „Creating Your Directory Tree“, wird f�lschlicherweise angegeben, dass das best�ndige Suchsteuerelement (OID 2.16.840.1.113730.3.4.3) verkettet werden kann. In der aktuellen Implementierung von Directory Server ist dies nicht der Fall.

Au�er dem best�ndigen Suchsteuerelement sind die folgenden Steuerelemente im Administration Guide nicht korrekt angegeben:

2.16.840.1.113730.3.4.4 (Benachrichtigung bei abgelaufenem Passwort)
2.16.840.1.113730.3.4.5 (Benachrichtigung bei Ablaufen des Passworts)
2.16.840.1.113730.3.4.15 (Authentifizierungsantwort)

Diese drei Steuerelemente werden dem Client von Directory Server gemeldet und deshalb von der Verkettungskonfiguration nicht beeinflusst.

2.16.840.1.113730.3.4.13 (Replikationsaktualisierungsinformation)

Dieses Steuerelement sollte von Directory Server-Clients beim Verketten nicht verwendet werden.

Die Online-Version des Administration Guide wurde wie folgt aktualisiert:
Im Hinweis unter „Defining Permissions“ in Kapitel 6, „Managing Access Control“, wurde irrt�mlicherweise angegeben, dass "deny"-ACIs �ber die Konsole nicht erstellt werden k�nnten. Dieser Hinweis ist in der neueren Version entfernt.
Der Abschnitt „Replication Retry Algorithm“ in Kapitel 8, „Managing Replication“, wurde korrigiert (siehe Punkt 4 unten).
Kapitel 3 der HTML-Version dieses Handbuchs auf CD ist abgeschnitten. Die Online-Version dieses Handbuchs (auf docs.sun.com) ist korrekt. Den vollst�ndigen Dokumentationssatz in HTML-Format k�nnen Sie auch aus dem Internet herunterladen.
Kapitel 8, „Managing Replication“, beschreibt den Wiederholungsalgorithmus der Replikation wie folgt:

„Das Wiederholungsmuster ist wie folgt: 20, 40, 80 und danach 160 Sekunden. Danach erfolgen die Wiederholungsversuche alle 160 Sekunden.“

Dies ist falsch. Richtig ist:

„Das Wiederholungsmuster ist wie folgt: 20, 40, 80, 160 und danach 300 Sekunden. Danach erfolgen die Wiederholungsversuche alle 300 Sekunden (5 Minuten).“

Installation and Tuning Guide

Anhang C, „Installing Sun Cluster HA for Directory Server“ sollte den folgenden Hinweis enthalten:

Hinweis	Beim Installieren und Konfigurieren von Sun Cluster HA f�r den Directory Server-Datendienst m�ssen die Solaris-Pakete auf lokale, nicht freigegebene Festplatten installiert werden. Au�erdem muss sich der ServerRoot auf freigegebenen oder globalen Festplatten befinden.

Directory Server Resource Kit Tools Reference

Die iPlanet LDAP Administrative Shell (ilash) wurde zwar in der Dokumentation beschrieben, ist jedoch nicht in der aktuellen Version des Directory Server Resource Kit (DSRK) enthalten.
In Kapitel 3, „ldapsearch“, ist die Option -o des Befehls ldapsearch nicht korrekt dokumentiert. Durch diese Option wird die Ausgabe von Suchergebnissen nicht formatiert, so dass keine Zeilenumbr�che in einzelnen Attributwerten verwendet werden, wie in diesem Kapitel angegeben.

Stattdessen wird die Option -o zur Angabe der SASL-Optionen mech, realm, authid und authzid verwendet.

Weitere Informationen zu diesen Optionen finden Sie unter „Examples of the ldapsearch Command“ in Kapitel 11 des Sun ONE Directory Server Administration Guide.

Dieser Fehler entspricht dem Programmfehler #4784801.

Allgemein

In einigen B�chern des Dokumentationssatzes sind die Directory SDKs f�r C und Java als iPlanet-Produkte angegeben. Dies ist nicht richtig. iPlanet ist in all diesen F�llen durch Sun ONE zu ersetzen.

Hinweis	Lokalisierte Dokumentation wird bei Verf�gbarkeit auf http://docs.sun.com/ bereitgestellt.

---

Kompatibilit�t

In den LDAP-Manpages auf Sun Solaris-Plattformen ist die Sun ONE-Version der LDAP-Dienstprogramme ldapsearch, ldapmodify, ldapdelete und ldapadd nicht beschrieben. Informationen zu diesen Dienstprogrammen erhalten Sie in der Sun ONE Directory Server Resource Kit Tools Reference.

---

Verbesserungen und behobene Probleme

Directory Server 5.2 wurden folgende bekannte Probleme aus fr�heren Versionen verbessert oder behoben:

Replikation

L�schvorg�nge wurden bei der kaskadierenden Replikation nicht an den Verbraucher weitergeleitet. (4550044)
Auf Windows-Plattformen wurde die Replikationsverarbeitung durch einen Optimierungstest abgebrochen. (4616579)
nsTombstone-Eintr�ge wurden nicht gel�scht. (4617521)
Auf dem Verzeichnisserver traten h�ufig Tombstone-Fehler auf. (4633404)
Wenn die RUV-Datenbank besch�digt war, wurde der Replikationsanbieter deaktiviert und konnte nicht neu gestartet werden. (4533706)
Die Replikation erfolgte unsynchronisiert und wurde angehalten. (4617085)
In MMR lie�en sich die Attributwerte f�r die Gro�-/Kleinschreibung nicht �ndern. (4624693)
Der Replikationsanbieter st�rzte nach dem L�schen eines Attributs ab. (4627443)
Das Verzeichnis st�rzte ab oder blieb h�ngen, sobald die Replikation aktiviert wurde. (4643122)
Die Replikation wurde nach der Migration des Verbrauchers von Version 5.0 und sp�teren Service Packs abgebrochen. (4646392)
Die Replikation wurde zwischen Anbieter und Verbraucher nicht neu gestartet. (4658810)
Die Replikation zwischen Version 4.x und 5.1 wurde bei der Aktualisierung von Betriebsattributen abgebrochen. (4665571)
Der Verzeichnisserver st�rzte ab, wenn bestimmte Replikationsvereinbarungsattribute fehlten. (4672889)
Die Replikation wurde beim Zur�ckstellen der Systemzeit abgebrochen. (4672960)
Der Replikationsaktualisierungsvektor im Replikatobjekt konnte nicht �berwacht werden. (4691101)
Zur �nderung einer Replikatrolle musste die Replikation deaktiviert werden. (4527621)
Die Replikation wurde nach der Wiederherstellung einer Datenbank mit bak2db nicht wieder gestartet. (4689805)

Konsole

Directory Server-Instanzen, die �ber die Konsole erstellt wurden, wurden auf HP- und IBM AIX-Systemen in verschiedenen Zeitzonen erstellt. (4529531)
SNMP lie� sich nicht �ber die Konsole starten. (4795483)
Auf der Konsole lie�en sich keine Hubs �ndern. (4527619)
Bei Suchergebnissen mit mehreren Eintr�gen wurde auf der Konsole nur der erste Eintrag angezeigt. (4726158)
Im �ber die Passwortrichtlinien- bzw. Dienstklassenschnittstelle ge�ffneten Suchdialogfeld wurden nicht alle vorhandenen Passwortrichtlinien angezeigt. (4722159)
Die Konsole konnte nicht auf die Daten eines entfernten Verzeichnisservers zugreifen, solange SSL aktiviert war. (4663658)
Auf Windows-Plattformen wurde die Replikat-ID nicht korrekt angezeigt. (4589224)
Beim Speichern von Konsolenmodifikationen f�r RDN kam es zu Ausnahmeverletzungen. (4668480)
Auf der Konsole wurde die Zeit nicht richtig angezeigt. (4615165)
Fett ausgezeichnete japanische Zeichen wurden als Quadrate angezeigt. (4645544)
CA-Zertifikate konnten nicht entfernt werden. (4658787)
Die Option Suffixkonfiguration klonen wurde von der Konsole nicht unterst�tzt. (4700966)
Auf Linux-Systemen wurde SSL von der Konsole nicht unterst�tzt. (4704635)
Der Assistent f�r die Zertifikatverwaltung auf der Directory Server-Konsole konnte keine neuen CA-Zertifikate importieren. (4645545)

Datenbank

bak2db konnte eine Datenbank nur an ihrem urspr�nglichen Speicherort wiederherstellen. (4522793)
Eine Datenbank, die sofort nach ihrer Erstellung und Initialisierung gesichert wurde, lie� sich aus dieser Sicherung nicht wiederherstellen. (4531022)
Alte Daten konnten in die aktuelle Datenbank zur�ckgeschrieben werden. (4638816)
Der Prozess ns-slapd st�rzte beim Import ab. (4623119)
Beim Versuch, die Datenbank mit einer nicht zug�nglichen Datei zu initialisieren, st�rzte der Server ab. (4523595)

Sicherheit

Das Plug-In f�r die Zugriffssteuerung verwendete zur Angabe der Anzahl der Verschachtelungsstufen, die von der Zugriffssteuerung f�r die Gruppenauswertung durchgef�hrt werden, nicht den Wert des Attributs nsslapd-groupevalnestlevel. (4529540)
Strichpunkte in ACI-Berechtigungen f�hrten zu einem Serverabsturz. (4527617)
Der Suchvorgang f�r das Passwortattribut wurde ge�ndert. (4619976)
Der Verzeichnisserver �berpr�fte den SSL-Peer-Hostnamen nicht. (4615324)
Mit dem Retro-Changelog-Plug-In gab es ein Sicherheitsproblem. (4618824)
Nach einem erfolgreichen Bind-Vorgang wurde die Anzahl der Fehlversuche nicht zur�ckgesetzt. (4645887)
Ein ung�ltiges SNMP PDU verursachte einen Master-Agentfehler - CERT Advisory CA-2002-03. (4532320)
Wenn das Attribut passwordHistory bei aktivierter Passwortrichtlinie auf einen niedrigeren Wert gesetzt wurde als die Anzahl der bereits erfolgten Benutzerpasswort�nderungen, st�rzte der Server ab. (4530739)
Bind-Versuche schlugen fehl, wenn Zertifikate einem Distinguished Name (DN) unter cn=config oder cn=monitor zugeordnet wurden. (4529535)
Bei aktiviertem Kontosperrmechanismus der Passwortrichtlinie konnte ein Konto nicht wieder entsperrt werden, wenn sein Benutzer von einem schreibgesch�tzten Replikat ausgesperrt war. (4527608).

Rollen und Dienstklassen

Das Attribut costemplatedn wurde im Schema ge�ndert. Anstatt des Typs String hat es nun den Typ DN. Dies soll sicherstellen, dass bei einer Suche alle Werte eines DN zur�ckgegeben werden, unabh�ngig davon, ob sie Leerzeichen enthalten. Aufgrund dieser �nderung gibt der Suchfilter „(objectclass=ldapsubentry)(costemplatedn=cn=template1, o=example.com)“
auch einen Eintrag mit dem costemplate-Wert „cn=template1,o=example.com“ zur�ck. In fr�heren Directory Server-Versionen w�re dieser Eintrag aufgrund des Leerzeichens nicht zur�ckgegeben worden.

LDAP-Zugriff

Eine Verzeichnissuche in einem Replikat mit dem Suchbereich „einfach“ schlug fehl. (4614741)
W�hrend einer Suche st�rzte das Verzeichnis ab (SIGBUS). (4639232)
Das Verzeichnis reagierte auf eine UNBIND-Anforderung falsch. (4623308)
ldapmodify interpretierte base64-kodierte Werte falsch. (4665564)
Der Verzeichnisserver st�rzte beim Binden an einen noch nicht fertig erstellten Eintrag ab. (4674387)
Der Server unterst�tzte keine LDAP-Suchanfragen mit Filtern, die auf virtuelle Attribute verwiesen. (4527614)

Leistung

Das Retro-Change-Protokoll beeintr�chtigte die Leistung. (4639310)
Die CPU wurde durch einen Schleifen-Thread belastet. (4629441)
Das Arbeitsspeicher-Leck im CoS-Plug-In wurde behoben. (4630124)
Das Arbeitsspeicher-Leck in der Schemasuche wurde behoben. (4682961)

Konformit�t

Das Standardschema enthielt �ber RFC2307 hinaus zus�tzliche Definitionen. (4629102)
Ein DN mit mehreren entfallenen Zeichen wurde nicht richtig standardisiert. (4535845)
Ein DN mit Leerzeichen war nicht RFC2252-konform. (4687038)

Installation, Deinstallation und Migration

Wenn unter Windows 2000 Verzeichniskomponenten mit der automatischen Installation (setup -s -f dateiname) installiert und sp�ter deinstalliert wurden, wurden diese Komponenten bei einer erneuten Installation in ihrem urspr�nglichen Installationsordner installiert. (4526014)
Unter Red Hat Linux 7.2 wurden die aktiven Administration Server-Prozesse bei der Deinstallation nicht beendet. (4744465)
Die Directory Server 4.x- und 5.0-Attribute accesslog-maxlogdiskspace, accesslog-maxlogsize, auditlog-maxlogdiskspace, auditlog-maxlogsize, errorlog-maxlogdiskspace und errorlog-maxlogsize wurden nicht automatisch migriert. (4529536)
Die in dieser Betaversion enthaltene Version des Dienstprogramms idsktune wurde aktualisiert. (4745287)
Die Installation konnte nicht erfolgreich ausgef�hrt werden, wenn europ�ische oder US UTF-8-L�nderinformationen ausgew�hlt waren. (4745711)

Sonstiges

Unter HP-UX konvertierten die LDAP-Befehlszeilenprogramme Zeichens�tze nicht korrekt in UTF-8. (4792861)
Der Parameter nsbindtimeout, der das Zeitlimit (in Sekunden) f�r einen Bind-Versuch festlegt, funktionierte bei einem nicht reagierenden Host nicht richtig. (4639408)
Der Wert des Attributs ds-hdsml-poolmaxsize war in der Datei dse.ldif base64-kodiert. (4744565)
Plug-Ins mit Eindeutigkeit mehrerer Attribute erzwangen Eindeutigkeit UNTEREINANDER. (4649615)
Beim Herunterfahren von Directory Server wurden die Zeitstempel in Protokolldateien falsch gespeichert. (4656846)
htmladmin.exe st�rzte ab, wenn der gesicherte Administration Server angehalten wurde. (4529402)
Directory Access Router 5.0 konnte nicht den gleichen Administration Server-ServerRoot verwenden wie der Directory Server. (Auf Solaris-Plattformen ist dieser Fehler behoben.) (4692956)
Wenn die Festplatte voll war, st�rzte Directory Server ab und konnte nicht neu gestartet werden. (4527611)
Auf Linux-Plattformen unterst�tzte Directory Server keine Dateien, die gr��er als 2 GB waren. (4716745)

---

Bekannte Probleme

In diesem Abschnitt werden die wichtigsten Probleme beschrieben, die zum Zeitpunkt der Freigabe von Directory Server 5.2 bekannt waren. Die Probleme sind in die folgenden Abschnitte unterteilt:

Installation, Deinstallation und Migration
Sicherheit
Schema
Replikation
Directory Server-Konsole
Core-Server
Sonstiges

Installation, Deinstallation und Migration

Multibyte-Zeichen bei der Installation verursachen Konfigurationsprobleme (#4882927)

Wenn Sie w�hrend der Installation Multibyte-Zeichen verwenden (Ausnahme: im Suffixnamen), werden Directory Server und Administration Server nicht ordnungsgem�� konfiguriert.

Umgehung
Verwenden Sie f�r alle Felder mit Ausnahme des Suffixnamens Monobyte-Zeichen.

Bei der Installation der herk�mmlichen chinesischen Version (zh_TW) d�rfen im Suffixnamen keine Multibyte-Zeichen verwendet werden (#4882801)

Wenn Sie bei der Installation der herk�mmlichen chinesischen Version (zh_TW) f�r den Suffixnamen Multibyte-Zeichen eingeben, wird der Suffixname auf der Konsole nicht richtig angezeigt. Dieses Problem tritt nur auf SPARC-Prozessoren bei 32-Bit- und 64-Bit-Installationen aus Solaris-Paketen auf.

Umgehung

Geben Sie bei der Installation f�r den Suffixnamen Monobyte-Zeichen ein. Nach der Installation k�nnen Sie das gew�nschte Multibyte-Suffix auf der Konsole eingeben.
Aktualisieren Sie JRE auf Version 1.4.1 oder h�her.

Wenn auf HP-UX-Systemen die japanischen L�nderinformationen ausgew�hlt sind, wird Administration Server nicht standardm��ig gestartet (#4869632)

Umgehung
Setzen Sie die Umgebungsvariable LANG vor einer Installation mit anderen L�nderinformationen als US Englisch auf C, wie im Sun ONE Directory Server Installation and Tuning Guide beschrieben. In der lokalisierten japanischen Version von Directory Server ist dieses Problem bereits behoben.

Bei der Installation wird eine harmlose Fehlermeldung ausgegeben (#4820566)

Nach einer erfolgreichen Installation wird folgender Fehler protokolliert:

ERROR<5398> - Entry - conn=-1 op=-1 msgId=-1 - Duplicate value addition in attribute "aci"

Dieser Fehler ist harmlos und kann ignoriert werden.

Wenn der Installationspfad l�nger als 54 Zeichen ist, l�sst sich Administration Server nicht richtig starten (#4788213)

Umgehung
Stellen Sie sicher, dass der vollst�ndige Installationspfad nicht l�nger als 54 Zeichen ist.

Directory Server l�sst sich nicht �ber die Terminaldienste von Microsoft installieren (#4710132)

Ein Root-Suffix darf keine Leerzeichen enthalten (#4526501)

Umgehung
Falls Ihr Root-Suffix Leerzeichen enth�lt, korrigieren Sie das bei der Installation erstellte Suffix. F�hren Sie die folgenden Schritte aus, um die Leerzeichen daraus zu entfernen:

�ffnen Sie auf der Sun ONE Server-Konsole die Registerkarte „Server und Anwendungen“ und w�hlen Sie dort den ersten Verzeichniseintrag im linken Navigationsbereich aus.
Klicken Sie auf „Bearbeiten“ und korrigieren Sie das Suffix im Teilbaum-Feld „Benutzerverzeichnis“.
Klicken Sie auf „OK“, um die �nderung zu speichern.

Fehlermeldung bei Ausf�hrung von migrateInstance5 (#4529552)

Wenn das Skript migrateInstance5 mit deaktivierter Fehlerprotokollierung ausgef�hrt wird, wird eine Meldung angezeigt, die besagt, dass der Migrationsprozess versucht, den Server ein zweites Mal zu starten, obwohl der Server bereits l�uft.

Wenn die Fehlerprotokollierung deaktiviert ist, k�nnen Sie diese Fehlermeldung ignorieren.

Wenn die Meldung bei aktivierter Fehlerprotokollierung ausgegeben wird, lesen Sie die Informationen zu diesem Fehler im Fehlerprotokoll.

Sicherheit

DNS-Schl�sselwort in ACIs (#4725671)

Wenn in einer ACI das Schl�sselwort DNS verwendet wird, kann jeder DNS-Administrator durch �nderung eines PTR-Eintrags auf das Verzeichnis zugreifen. Auf diese Weise kann er die von der ACI genehmigten Berechtigungen bereitstellen.

Umgehung
Verwenden Sie in der ACI das Schl�sselwort IP, um alle IP-Adressen der Dom�ne anzugeben.

Eintrag-DNs mit Anf�hrungszeichen (#4529541)

Directory Server kann ACI-Zieleintrag-DNs mit Anf�hrungszeichen nicht richtig analysieren. Das folgende Beispiel verursacht einen Syntaxfehler:

dn:o=mary\"red\"doe,o=example.com,o=isp changetype:modify add:aci aci:(target="ldap:///o=mary\"red\"doe,o=example.com,o=isp")(targetattr="*") (version 3.0; acl "test"; allow (all) userdn ="ldap:///self";)

Kontosperre nach Passwort�nderung (#4527623)

Nach �nderung eines Benutzerpassworts wird die Kontosperre nicht aufgehoben. Falls ein Benutzer sein Passwort vergessen hat und nicht mehr auf das Verzeichnis zugreifen kann, kann er sich erst wieder anmelden, wenn die Sperrattribute (accountUnlockTime, passwordRetryCount und retryCountResetTime) gel�scht wurden, selbst wenn das Passwort vom Administrator zur�ckgesetzt wurde.

Umgehung
Setzen Sie die Sperrattribute accountUnlockTime, passwordRetryCount und retryCountResetTime zur�ck, um die Kontosperre aufzuheben.

Schema

Attribut nsslapd-ds4-compatible-schema (#4666007)

Wenn das Attribut nsslapd-ds4-compatible-schema auf on gesetzt ist, l�sst sich slapd unter Umst�nden nicht mehr starten.

Dieses Problem wurde f�r das Standardschema von Directory Server 5.2 behoben. Bei benutzerdefinierten Schema�nderungen kann das Problem aber nach wie vor auftreten. Die Directory Server 4.x-Notation ist nicht LDAPv3-konform. In einer zuk�nftigen Version von Directory Server wird diese Notation nicht mehr unterst�tzt.

Umgehung
F�r ein benutzerdefiniertes Schema:

Sehen Sie im Fehlerprotokoll nach, welches Schemaelement den Fehler verursacht.
Bearbeiten Sie die Datei, in der dieses Element definiert ist.

�ndern Sie die Elementbeschreibung (DESC). Sie darf keines der folgenden Schl�sselw�rter enthalten: must, may, obsolete und x-origin.

Speichern Sie die Datei und starten Sie den Server neu.

�ndern Sie zum Beispiel in der Datei

   ServerRoot/slapd-serverID/config/schema/20subscriber.ldif

die Beschreibung des Attributs inetUser von:

'Auxiliary class which must be present in an entry for delivery of subscriber services' in

'Auxiliary class which has to be present in an entry for delivery of subscriber services'

Replikation

Zus�tzliche Dokumentation f�r die Verwendung des Plug-Ins f�r referentielle Integrit�t mit Erbreplikation erforderlich (#4956596)

Bei der Replikation von einer 4.x-Masterversion auf eine 5.x-Verbraucherversion unter Aktivierung der referentiellen Integrit�t m�ssen Sie das Plug-In f�r die referentielle Integrit�t in der 4.x-Masterversion neu daf�r konfigurieren, dass die �nderungen der referentiellen Integrit�t in das 4.x-Changelog-Protokoll geschrieben werden. Dadurch wird die Replikation der �nderungen der referentiellen Integrit�t aktiviert. Wenn Sie das Plug-In nicht neu konfigurieren, funktioniert die referentielle Integrit�t nicht ordnungsgem��.

So konfigurieren Sie das Plug-In f�r die referentielle Integrit�t in dieser Umgebung neu:

Halten Sie den 4.x-Server an.
�ffnen Sie die Datei slapd.ldbm.conf im Verzeichnis ServerRoot/slapd-ServerID/config/.
Suchen Sie nach der Zeile, die folgenderma�en beginnt:

plugin postoperation on "referential integrity postoperation".

�ndern Sie diese Zeile, indem Sie das Argument, das direkt vor der Liste der Attribute erscheint, von 0 in 1 �ndern.

�ndern Sie beispielsweise

plugin postoperation on "referential integrity postoperation" "ServerRoot/lib/referint-plugin.dll" referint_postop_init 0 "ServerRoot/slapd-serverID/logs/referint" 0 "member" "uniquemember" "owner" "seeAlso"

in

plugin postoperation on "referential integrity postoperation" "ServerRoot/lib/referint-plugin.dll" referint_postop_init 0 "ServerRoot/slapd-serverID/logs/referint" 1 "member" "uniquemember" "owner" "seeAlso"

Speichern Sie die Datei slapd.ldbm.conf.
Starten Sie den Server neu.
Initialisieren Sie die 5.x-Verbraucherversion von der 4.x-Lieferantenversion neu.

Das Changelog-Protokoll wird nicht standardm��ig bereinigt (#4881004)

Beachten Sie beim Konfigurieren der Replikation, dass das Changelog-Protokoll nicht standardm��ig bereinigt wird. Dies bedeutet, dass die Dateien changelog.db3 weiter ad infinitum anwachsen.

Umgehung
Legen Sie einen Wert f�r das maximale Changelog-Alter oder die maximale Anzahl an Changelog-Datens�tzen fest. W�hlen Sie hierf�r „Konfiguration > Daten > Replikation“ in der Directory Server-Konsole oder �ndern Sie das Attribut nsslapd-changelogmaxage oder nsslapd-changelomaxentries unter cn=changelog5,cn=config (�ber die Befehlszeile). Das Attribut nsslapd-changelogmaxage sollte auf denselben Wert gesetzt werden wie das Attribut nsDS5ReplicaPurgeDelay unter cn=replica,cn=suffixName,cn=mapping tree,cn=config. Weitere Informationen zu diesen Attributen finden Sie in Kapitel 4, „Core Server Configuration Attributes“ im Sun ONE Directory Server Reference Manual.

Das Befehlszeilenprogramm insync erkennt keine Teilreplikationen (#4856286)

Wenn eine Teilreplikation konfiguriert ist, sind die gemeldeten Verz�gerungen daher vermutlich falsch.

Umgehung
Wenn eine Teilreplikation konfiguriert ist, verwenden Sie zur Ermittlung des Werts des Attributs ds5ReplicaPendingChangesCount das Programm ldapsearch. Dieses schreibgesch�tzte Attribut gibt die Anzahl der �nderungen zur�ck, die noch nicht an den angegebenen Verbraucher gesendet wurden. Das Attribut muss im ldapsearch-Vorgang explizit angefordert werden. Ein ldapsearch-Befehl f�r dieses Attribut wirkt sich allerdings auf die Serverleistung aus.

Multimaster-Replikation �ber SSL (#4727672)

Wenn die Replikation in einem Multimaster-Replikationsszenarium mittels einfacher Authentifizierung �ber SSL erfolgt, kann die Replikation zwischen den gleichen Servern nicht �ber SSL mittels zertifikat-basierter Clientauthentifizierung erfolgen.

Umgehung
Wenn Sie die Replikation �ber SSL mittels zertifikat-basierter Clientauthentifizierung erm�glichen m�chten, m�ssen Sie mindestens einen der Server neu starten.

Abbruch einer Gesamtaktualisierung (#4741320)

Wenn eine laufende Gesamtaktualisierung abgebrochen wurde, kann keine andere Gesamtaktualisierung gestartet werden und die Replikation f�r das Suffix kann nicht erneut aktiviert werden.

Umgehung
Brechen Sie keine laufende Gesamtaktualisierung ab.

Replikations�berwachungsprogramme und unmittelbare IPv6-Adressen (#4702476)

Die Replikations�berwachungsprogramme (entrycmp, insync und repldisc) unterst�tzen keine LDAP URLs mit unmittelbaren IPv6-Adressen.

Bei der Erstellung einer Verbraucherdatenbank k�nnen lokale Schema�nderungen �berschrieben werden (#4537230)

Hinweis

Zum Abrufen des Replikationsstatus ben�tigen die Replikations�berwachungsprogramme Lesezugriff auf cn=config. Ber�cksichtigen Sie dies, besonders wenn Sie die Replikation �ber SSL konfigurieren.

Hinweis

Die Schemadatei 11rfc2307.ldif wurde in Directory Server 5.2 an rfc2307 angepasst. Wenn zwischen Servern der Version 5.2 und Servern der Version 5.1 Replikation stattfinden soll, muss das rfc2307-Schema auf den Servern der Version 5.1 korrigiert werden, damit die Replikation funktioniert. F�hren Sie die folgenden Schritte aus, um eine korrekte Replikation zwischen Servern der Version 5.2 und Servern der Version 5.1 sicherzustellen:

Entfernen Sie bei Zip-Installationen die Datei 10rfc2307.ldif aus dem Schemaverzeichnis der Version 5.1 und kopieren Sie die Datei 11rfc2307.ldif der Version 5.2 in das Schemaverzeichnis der Version 5.1. (In Directory Server Solaris-Paketen der Version 5.1 ist diese �nderung bereits enthalten.)
Kopieren Sie die folgenden Dateien aus dem Schemaverzeichnis der Version 5.2 in das Schemaverzeichnis der Version 5.1. Die alten Versionen dieser Dateien werden dabei ersetzt:
11rfc2307.ldif, 50ns-msg.ldif, 30ns-common.ldif, 50ns-directory.ldif, 50ns-mail.ldif, 50ns-mlm.ldif, 50ns-admin.ldif, 50ns-certificate.ldif, 50ns-netshare.ldif, 50ns-legacy.ldif und 20subscriber.ldif.
Starten Sie den Server der Version 5.1 neu.
Setzen Sie das Attribut nsslapd-schema-repl-useronly auf dem Server der Version 5.2 unter cn=config auf on.
Konfigurieren Sie die Replikation auf beiden Servern.
Initialisieren Sie die Replikate.

Im Zuge der Schemasynchronisierung kann es nun passieren, dass bestimmte Schemaattribute zwischen den Servern repliziert werden. Dies f�hrt jedoch zu keinen Problemen. Die einzelnen Schema�nderungen sind in den Installationshinweise beschrieben.

Directory Server-Konsole

Erstellen einer neuen Gruppe mit neuen Mitgliedern (#4868083)

Wenn Sie auf der Konsole eine neue Gruppe mit neuen Mitgliedern erstellen, wird ein LDAP-Ausnahmefehler ausgegeben. Dies passiert, wenn Sie der neuen Gruppe Mitglieder hinzuf�gen, bevor Sie die Gruppe gespeichert haben. In diesem Fall wird folgende Fehlermeldung ausgegeben:

Save Error Cannot save to directory server: netscape.ldap.LDAPException: error results (2); protocol violation: attribute uniquemember has no values; Protocol error

Umgehung
Erstellen Sie die Gruppe und speichern Sie sie, indem Sie im Fenster „Neue Gruppe erstellen“ auf „OK“ klicken. F�gen Sie der Gruppe erst danach Mitglieder hinzu.

Die Konsole unterst�tzt keine Passw�rter mit einem Doppelpunkt (#4535932)

Passw�rter, die einen Doppelpunkt (:) enthalten, werden von der Konsole nicht unterst�tzt.

Umgehung
Verwenden Sie in Passw�rtern keinen Doppelpunkt.

Die Konsole und externe Sicherheitsger�te (#4795512)

Die Konsole kann keine externen Sicherheitsger�te wie das Sun Crypto Accelerator 1000 Board verwalten.

Umgehung
Externe Sicherheitsger�te m�ssen �ber die Befehlszeile verwaltet werden.

Nachstehende Leerzeichen bleiben bei einem remoten Konsolenimport nicht erhalten (#4529532)

Bei einem lokalen Import �ber die Konsole oder einem Import via ldif2db bleiben nachstehende Leerzeichen erhalten.

Befehl startconsole mit der Option -l (#4843693)

Unter Windows stellt der Befehl startconsole mit der Option -l die L�nderinformationen nicht richtig ein. Wenn die L�nderinformationen nicht richtig eingestellt sind, kann die Konsole keine I18N-Zeichen anzeigen.

Umgehung
F�hren Sie zus�tzlich zur Einstellung der L�nderinformationen mit dem Befehl startconsole und der Option -l die folgenden Schritte aus:

W�hlen Sie „Start > Einstellungen > Systemsteuerung“.
Doppelklicken Sie auf „L�ndereinstellungen“.
W�hlen Sie auf der Registerkarte „Allgemein“ der L�ndereinstellungen in der Dropdown-Liste „Gebietsschema (Standort)“ den gew�nschten Standort aus.
Klicken Sie auf „OK“.

Core-Server

Wenn der Server w�hrend eines Export-, Sicherungs-, Wiederherstellungs- oder Indizierungsvorgangs angehalten wird, st�rzt er ab (#4678334)

Sonstiges

Statistiken f�r SNMP-Subagents (#4529542)

Auf UNIX-Plattformen werden Statistiken nur f�r den zuletzt gestarteten SNMP-Subagent erstellt. Das bedeutet, dass Sie mit SNMP jeweils nur eine Directory Server-Instanz �berwachen k�nnen.

Transaktionsprotokolle und das Befehlszeilenprogramm db2bak (#4815733)

Transaktionsprotokolle werden nach einem Abbruch des Befehlszeilenprogamms db2bak nicht mehr gel�scht. Das Entfernen des Datenbanktransaktionsprotokolls ist w�hrend der Ausf�hrung von db2bak vor�bergehend deaktiviert und wird nicht wieder aktiviert, wenn der Befehl vorzeitig abgebrochen wird.

Umgehung
Brechen Sie den Befehl db2bak nicht w�hrend einer laufenden Sicherung ab (z. B. mit Strg-C). Zur Vermeidung dieses Problems sollten Sie den Befehl db2bak.pl verwenden (bei Solaris-Paketen den Befehl directoryserver db2bak-task).

Das Pass-through-Authentifizierungs-(PTA-)Plug-In kann pro Suffix nur f�r einen authentifizierenden Directory Server konfiguriert werden (#4845622)

Eine �nderung der Maximalgr��e des Transaktionsprotokolls hat keine Auswirkung, wenn das Datenbankverzeichnis bereits Protokolldateien enth�lt (#4523783)

Umgehung
Halten Sie den Server an, �ndern Sie das Attribut nsslapd-db-logfile-size in der Datei dse.ldif manuell, l�schen Sie alle Dateien mit dem Namen log.* aus dem Datenbankverzeichnis und starten Sie den Server neu.

ldapsearch auf Linux-Systemen (#4755958)

Auf Linux-Systemen gibt der Befehl ldapsearch ohne Angabe des Hostnamens, beispielsweise der Befehl

ldapsearch -D ... -w ... -h -p 389

Fehler 91 zur�ck (ldap_simple_bind: Can't connect to the LDAP server - No route to host). Auf anderen Plattformen wird Fehler 89 (LDAP_PARAM_ERROR) zur�ckgegeben. Dies liegt daran, dass es auf Linux-Systemen m�glich ist, einen Host wie „-p“ aufzul�sen. Die Verbindungsfunktion versucht also, den Host aufzul�sen, was aber nicht gelingt.

---

Zugriff auf Produktdokumentation

Die Online-Dokumentationsdateien befinden sich auf der Produkt-CD. Sie k�nnen �ber einen Browser ge�ffnet werden. Dar�ber hinaus k�nnen Sie den gesamten Dokumentationssatz in HTML-Format aus dem Internet herunterladen.

Extrahieren Sie diese Datei nach dem Download in das folgende Verzeichnis:

ServerRoot/manual/en/slapd

Der Dokumentationssatz kann dann �ber die folgende Datei ge�ffnet werden:

ServerRoot/manual/en/slapd/index.html

Oder w�hlen Sie zum �ffnen des Dokumentationssatzes auf der Directory Server-Konsole den Befehl „Startseite der Dokumentation“ im Men� „Hilfe“.

---

Problemmeldungen und Feedback

Wenn Sie mit Sun ONE Directory Server Probleme haben, wenden Sie sich an die Kundenunterst�tzung von Sun. Dazu stehen Ihnen folgende M�glichkeiten zur Verf�gung:

Sun-Softwaresupport unter:
http://www.sun.com/service/sunone/software

Auf dieser Website finden Sie Links zur Knowledge Base, zum Online Support Center, zum ProductTracker wie auch zu Wartungsprogrammen und Kontaktinformationen f�r die Kundenunterst�tzung.

Die auf Ihrem Wartungsvertrag angegebene Telefonnummer.

Damit wir Sie optimal beraten k�nnen, halten Sie bitte die folgenden Informationen bereit, wenn Sie sich an die Kundenunterst�tzung wenden:

Beschreibung des Problems, einschlie�lich der Situation, in der das Problem auftrat, sowie seine Auswirkungen auf Ihre Arbeit.
Rechnertyp, Betriebssystem- und Produktversion, einschlie�lich s�mtlicher Patches und anderer Software, die mit dem Problem in Zusammenhang stehen k�nnten.
Zur Nachvollziehung des Problems eine ausf�hrliche Beschreibung der einzelnen Schritte und Vorgehensweisen, die zu dem Problem gef�hrt haben.
S�mtliche Fehlerprotokolle oder Kernspeicherausz�ge.

Kommentare sind willkommen

Sun m�chte seine Dokumentation laufend verbessern. Ihre Kommentare und Vorschl�ge sind daher immer willkommen. Bitte senden Sie Kommentare per E-Mail an folgende Adresse:

docfeedback@sun.com

Bitte geben Sie in der Betreffzeile Ihrer Nachricht die Teilenummer (816-6878-10) des Dokuments an, auf das Sie sich beziehen.

---

Weitere Informationen �ber Sun-Ressourcen

N�tzliche Informationen �ber Sun ONE finden Sie unter den folgenden Internet-Adressen:

Sun ONEDokumentation
http://docs.sun.com/prod/sunone
Sun ONE-Softwareprodukte und -dienste
http://www.sun.com/software
Sun ONE-Softwaresupport
http://www.sun.com/service/sunone/software
Sun ONE-Support und -Knowledge Base
http://www.sun.com/service/support/software
Sun-Support und -Schulungen
http://www.sun.com/supportraining
Sun ONE-Beratung und professionelle Dienste
http://www.sun.com/service/sunps/sunone
Sun ONE-Informationen f�r Entwickler
http://sunonedev.sun.com
Sun-Supportdienste f�r Entwickler
http://www.sun.com/developers/support
Sun ONE-Softwareschulungen
http://www.sun.com/software/training
Sun-Softwaredatenbl�tter
http://wwws.sun.com/software
Sun ONE Directory Server-Zertifizierung
http://training.sun.com/US/certification/middleware/dir_server.html

---

Copyright � 2003 Sun Microsystems, Inc. Alle Rechte vorbehalten.

Sun, Sun Microsystems, das Sun-Logo, Solaris, Java und das Java Kaffeetassen-Logo sind Marken oder registrierte Marken von Sun Microsystems, Inc. in den USA und anderen L�ndern. Die Verwendung von Directory Server unterliegt den in der beiliegenden Lizenzvereinbarung beschriebenen Bedingungen.