이 장에는Identity Synchronization for Windows 릴리스 당시에 사용 가능한 중요한 제품별 정보가 포함되어 있습니다.
이 장은 다음 내용으로 구성되어 있습니다.
이 절에는 이 릴리스에서 수정된 버그가 나열되어 있습니다.
Identity Synchronization for Windows에서 활성 디렉토리와 디렉토리 서버 간에 그룹 동기화를 지원해야 합니다.
하위 접미어 연결을 사용하여 LDAP 데이터베이스를 구성한 경우 Identity Synchronization for Windows를 사용하여 연결된 데이터베이스의 레코드를 수정할 수 없습니다. 사용자는 연결된 데이터베이스의 항목을 만들고 삭제할 수만 있습니다. 플러그인이 로드되지 않은 경우 만들기, 삭제 및 업데이트를 포함한 모든 작업이 가능합니다.
서버를 구성하려면 페일오버 설정의 보조 페일오버 서버에 o=NetscapeRoot DIT가 있어야 합니다.
prepds 명령에서 다중 마스터 복제 설정의 여러 호스트 옵션에 대한 오류를 발생합니다. 따라서 사용자는 다중 마스터 복제 설정을 수행할 수 없습니다.
Identity Synchronization for Windows 설치 시 Linux에 대한 정보가 작업 목록의 지원되는 플랫폼 목록에 누락되어 있습니다.
새 비밀번호 정책 속성으로 계정 잠금 및 활성화 동기화가 수행되지 않습니다.
활성 디렉토리와 디렉토리 서버간 동기화를 위한 그룹 유형 매핑이 구현되어 있어야 합니다.
Identity Synchronization for Windows에서 사용자 이름 속성을 그룹에 제대로 매핑하지 못합니다.
Identity Synchronization for Windows에서 그룹 및 그룹 구성원이 동일한 SUL에 속하는지 확인하지 않습니다.
기본 마스터가 다운될 때 Identity Synchronization for Windows가 보조 마스터에서 Windows 활성 디렉토리로 사용자 만들기, 수정 및 삭제를 동기화하지 못합니다.
Identity Synchronization for Windows가 디렉토리 서버에서 활성 디렉토리로 사용자 만들기, 수정 또는 삭제를 동기화하지 않습니다. 기본 호스트와 보조 호스트 목록의 N번째 보조 호스트가 다운된 경우 이 문제가 발생합니다.
관리 사용자가 더 이상 사용되지 않기 때문에 Identity Synchronization for Windows에서 만든 관리 사용자가 중복됩니다. uid=admin 사용자 만들기를 제거해야 합니다.
디렉토리 서버 콘솔에 액세스하기 위해 디렉토리 정보 트리를 클릭하면 Identity Synchronization for Windows에서 오류가 발생합니다.
디렉토리 서버 구성 플러그인 옵션을 선택하지 않은 경우에도 Identity Synchronization for Windows 설치 프로그램이 디렉토리 서버의 다시 시작을 요구합니다.
Identity Synchronization for Windows에 대한 명령줄 사용에서 명령줄 사용의 링크 사용자를 잘못 참조합니다.
제거 프로그램에서 사용자에게 관리 서버를 수동으로 제거하도록 요청합니다.
Identity Synchronization for Windows 설치 프로그램에서 설치한 구성 요소 목록에 관리 서버가 나열되어 있지 않습니다.
현재 중첩 그룹 동기화가 지원되지 않기 때문에 중첩 그룹을 동기화하려고 하면 활성 디렉토리 커넥터와 디렉토리 서버 커넥터가 충돌합니다.
이 절에는 릴리스 당시의 알려진 문제점과 제한 사항이 나열되어 있습니다.
이 절에는 제품의 제한 사항이 나열되어 있습니다. 제한 사항이 항상 변경 요청 번호와 연관되어 있는 것은 아닙니다.
설치된 Directory Server Enterprise Edition 제품 파일의 파일 권한을 변경하면 소프트웨어가 제대로 작동하지 않을 수 있습니다.
이 제한 사항을 해결하려면 적절한 사용자 및 그룹 권한을 가진 사용자로 제품을 설치합니다.
Identity Synchronization for Windows 코어 서비스가 설치된 시스템을 완화할 경우 다시 설치해야 합니다. Identity Synchronization for Windows 코어 서비스에 대한 페일오버가 없습니다.
LDIF 형식으로 ou=services(Identity Synchronization for Windows DIT의 구성 분기)를 백업하고 Identity Synchronization for Windows를 다시 설치하는 동안 이 정보를 사용합니다.
Windows 2003 SP1을 설치할 때 기본적으로 사용자는 이전 비밀번호를 사용하여 1시간 동안 자신의 계정에 액세스할 수 있습니다.
따라서 사용자가 활성 디렉토리에서 자신의 비밀번호를 변경할 때 요청 시 동기화 속성 dspswvalidate가 true로 설정되고 이전 비밀번호를 디렉토리 서버 인증에 사용할 수 있습니다. 이에 따라 디렉토리 서버에서 동기화된 비밀번호는 현재 활성 디렉토리의 비밀번호보다 이전의 비밀번호가 됩니다.
이 기능을 비활성화하는 방법에 대한 자세한 내용은 Microsoft Windows 지원 설명서를 참조하십시오.
관리 서버를 성공적으로 제거하려면 관리 서버 패키지를 제거하기 전에 /etc/mps/admin/v5.2/shared/config/serverroot.conf를 제거합니다.
하드웨어나 응용 프로그램 실패 후 동기화된 디렉토리 소스 일부에서 백업 데이터를 복원해야 할 수도 있습니다.
그러나 데이터 복구를 완료한 후 동기화가 정상적으로 수행되게 하려면 추가 절차를 수행해야 합니다.
일반적으로 커넥터는 메시지 대기열로 전달한 마지막 변경 사항에 대한 정보를 유지관리합니다.
커넥터 상태라고 하는 이 정보를 사용하여 디렉토리 소스에서 커넥터가 읽어야 할 후속 변경 사항을 결정합니다. 동기화된 디렉토리 소스의 데이터베이스를 백업에서 복원한 경우 커넥터 상태가 더 이상 유효하지 않을 수 있습니다.
활성 디렉토리 및 Windows NT용 Windows 기반의 커넥터도 내부 데이터베이스를 유지관리합니다. 데이터베이스는 동기화된 데이터 소스의 복사본입니다. 데이터베이스를 사용하여 연결된 데이터 소스의 변경 내용을 확인합니다. 연결된 Windows 소스를 백업에서 복원한 경우 내부 데이터베이스가 더 이상 유효하지 않습니다.
일반적으로 idsync resync 명령을 사용하여 복구된 데이터 소스를 다시 채울 수 있습니다.
다시 동기화를 사용하여 비밀번호를 동기화할 수 없습니다(하나의 예외). -i ALL_USERS 옵션을 사용하여 디렉토리 서버의 비밀번호를 무효화할 수 있습니다. 다시 동기화 데이터 소스가 Windows일 경우 이 옵션이 작동합니다. 또한 SUL 목록은 활성 디렉토리 시스템만 포함해야 합니다.
그러나 idsync resync 명령 사용이 일부 상황에서는 허용 가능하지 않을 수 있습니다.
다음의 자세한 단계를 실행하기 전에 동기화가 중지되었는지 확인합니다.
동기화 설정에 따라 적절한 한정자 설정과 함께 idsync resync 명령을 사용합니다. 복구된 디렉토리 소스를 resync 작업의 대상으로 사용합니다.
복구된 데이터 소스가 동기화 대상일 경우 양방향 동기화에 대해 동일한 절차를 수행할 수 있습니다.
복구된 데이터 소스가 동기화 소스일 경우 idsync resync를 사용하여 복구된 디렉토리 소스를 다시 채울 수 있습니다. Identity Synchronization for Windows 구성에서 동기화 흐름 설정을 변경할 필요가 없습니다. idsync resync 명령을 사용하면 -o Windows|Sun 옵션으로 구성된 흐름과 상관 없이 동기화 흐름을 설정할 수 있습니다.
다음 시나리오를 예로 들어 보겠습니다.
디렉토리 서버와 활성 디렉토리 간에 양방향 동기화가 설정되어 있습니다.
Microsoft Active Directory 서버의 데이터베이스를 백업에서 복구해야 합니다.
Identity Synchronization for Windows에서 SUL AD에 대해 활성 디렉토리 소스가 구성되어 있습니다.
활성 디렉토리 소스와 Sun Directory Server Source 간에 수정, 만들기 및 삭제에 대한 양방향 동기화가 설정되어 있습니다.
동기화를 중지합니다.
idsync stopsync -w - -q - |
활성 디렉토리 소스를 다시 동기화합니다. 또한 수정, 만들기 및 삭제를 다시 동기화합니다.
idsync resync -c -x -o Sun -l AD -w - -q - |
동기화를 다시 시작합니다.
idsync startsync -w - -q - |
다음 절차는 특정 디렉토리 소스에 해당합니다.
백업에서 활성 디렉토리를 복원할 수 있으면 양방향 또는 단방향 동기화를 설명하는 절의 절차를 수행하십시오.
그러나 심각한 실패 후에는 다른 도메인 컨트롤러를 사용해야 할 수도 있습니다. 이 경우 위 단계를 수행하여 활성 디렉토리 커넥터의 구성을 업데이트합니다.
Identity Synchronization for Windows 관리 콘솔을 시작합니다.
구성 탭을 선택합니다. 디렉토리 소스 노드를 확장합니다.
해당하는 활성 디렉토리 소스를 선택합니다.
컨트롤러 편집을 클릭한 다음 새 도메인 컨트롤러를 선택합니다.
선택한 도메인 컨트롤러를 도메인의 NT PDC FSMO 역할 소유자로 지정합니다.
구성을 저장합니다.
활성 디렉토리 커넥터가 실행되고 있는 호스트에서 Identity Synchronization 서비스를 중지합니다.
ServerRoot/isw-hostname/persist/ADPxxx에서 디렉토리를 제외한 모든 파일을 삭제합니다. 여기서 xxx는 활성 디렉토리 커넥터 식별자의 숫자 부분입니다.
예를 들어, 활성 디렉토리 커넥터 식별자가 CNN100일 경우 100입니다.
활성 디렉토리 커넥터가 실행되고 있는 호스트에서 Identity Synchronization 서비스를 시작합니다.
단방향 또는 양방향 동기화 절의 동기화 흐름에 따라 단계를 수행합니다.
레트로 변경 로그 데이터베이스, 동기화된 사용자가 있는 데이터베이스 또는 둘 다 심각한 실패의 영향을 받을 수 있습니다.
레트로 변경 로그 데이터베이스
디렉토리 서버 커넥터가 처리할 수 없는 레트로 변경 로그 데이터베이스의 변경 사항이 발생할 수 있습니다. 백업에 처리되지 않은 일부 변경 사항이 있을 경우에만 레트로 변경 로그 데이터베이스의 복원이 수행됩니다. ServerRoot/isw-hostname/persist/ADPxxx/accessor.state 파일의 가장 최근 항목을 백업의 마지막 changenumber와 비교합니다. accessor.state의 값이 백업의 changenumber보다 크거나 같을 경우 데이터베이스를 복원하지 마십시오. 대신 데이터베이스를 다시 만듭니다.
레트로 변경 로그 데이터베이스를 다시 만든 후 idsync prepds를 실행해야 합니다. 또는 Identity Synchronization for Windows 관리 콘솔의 Sun 디렉토리 소스 창에서 디렉토리 서버 준비를 클릭합니다.
디렉토리 서버 커넥터에서 레트로 변경 로그 데이터베이스가 다시 생성됨을 감지하고 경고 메시지를 기록합니다. 이 메시지는 무시해도 됩니다.
동기화된 데이터베이스
동기화된 데이터베이스에 대해 백업을 사용할 수 없으면 디렉토리 서버 커넥터를 다시 설치해야 합니다.
동기화된 데이터베이스를 백업에서 복원할 수 있는 경우 양방향 또는 단방향 동기화 절의 절차를 수행하십시오.
이 절에는 알려진 문제점이 나열되어 있습니다. 알려진 문제점은 변경 요청 번호와 연관되어 있습니다.
Windows 2003 시스템에서는 사용자가 다음 로그인 시 비밀번호를 변경해야 함을 나타내는 플래그가 기본적으로 설정되어 있습니다. Windows 2000 시스템에서는 이 플래그가 기본적으로 설정되어 있지 않습니다.
다음 로그인 시 사용자가 비밀번호를 변경해야 합니다 플래그를 설정한 채 Windows 2000 및 2003 시스템에서 사용자를 만든 경우 비밀번호 없이 사용자가 디렉토리 서버에 만들어집니다. 다음에 사용자가 활성 디렉토리에 로그인할 경우 사용자가 자신의 비밀번호를 변경해야 합니다. 변경하면 디렉토리 서버의 사용자 비밀번호가 무효화됩니다. 변경하면 다음에 해당 사용자를 디렉토리 서버에 인증할 때 요청 시 동기화를 강제 수행합니다.
사용자가 활성 디렉토리에서 자신의 비밀번호를 변경할 때까지 사용자를 디렉토리 서버에 인증할 수 없습니다.
Remote Administration 2.1이 포함된 PC Anywhere 10을 사용하여 Identity Synchronization for Windows 콘솔을 보려고 하면 문제가 발생할 수 있습니다. PC Anywhere 버전 9.2는 오류를 일으키지 않는 것으로 나타났습니다. 문제가 지속되면 원격 관리 소프트웨어를 제거하십시오. 또는 VNC를 사용할 수 있습니다. Identity Synchronization for Windows 콘솔을 표시할 때 VNC가 문제를 일으키지 않는 것으로 알려져 있습니다.
FAT 32 시스템으로 포맷된 Windows 시스템에 Identity Synchronization for Windows를 설치할 경우 ACL을 사용할 수 없습니다. 그리고 설치에 적용되는 액세스 제한 사항은 없습니다. 보안을 보장하려면 Windows NTFS 시스템만 사용하여 Identity Synchronization for Windows를 설치하십시오.
명령줄을 사용하여 소비자에서 디렉토리 서버 플러그인을 구성한 경우 플러그인이 해당 소비자에 대해 새로운 하위 구성 요소 아이디를 만들지 않습니다. 플러그인 구성은 소비자에 대해 새 아이디를 만들지 않습니다.
accountlock 및 passwordRetryCount를 확인하기 전에 동기화되지 않은 계정에 대해 Identity Synchronization for Windows용 비밀번호 동기화 플러그인은 활성 디렉토리에 바인딩하려고 합니다.
이 문제를 해결하려면 LDAP 서버에서 비밀번호 정책을 실행합니다. 또한 사용자 검색에서 다음 필터를 사용하도록 액세스 관리자를 구성합니다.
(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )
그러나 LDAP를 통해 너무 많은 로그인 시도를 할 경우 이 해결 방법에서 사용자를 찾을 수 없다는 오류가 발생합니다. 이 해결 방법은 활성 디렉토리 계정을 차단하지 않습니다.
o=NetscapeRoot가 복제된 경우 Identity Synchronization for Windows 콘솔이 시작되지 않습니다.
아직 사용자 정보가 작성되지 않은 그룹을 디렉토리 서버에서 동기화한 경우 Identity Synchronization for Windows에서 오류가 발생합니다.
연결된 접미어를 통해 Identity Synchronization for Windows 플러그인을 검색할 수 없습니다. 따라서 디렉토리 서버 인스턴스에서 수정 및 바인드 작업을 수행할 수 없습니다.
Identity Synchronization for Windows에서 Identity Synchronization for Windows 구성을 XML 파일로 내보내기를 지원해야 합니다.
그룹 동기화 기능이 사용 가능한 경우 Identity Synchronization for Windows는 활성 디렉토리와 디렉토리 서버 간에 사용자와 그룹 정보를 동기화합니다. 명령줄에서 resync 명령을 실행한 경우에만 동기화가 정상적으로 발생합니다.
SUNWtls 패키지 버전 3.11.0이 설치된 Solaris 시스템에서 Identity Synchronization for Windows를 설치할 경우 관리 서버가 실행되지 않을 수 있습니다. 이 문제를 해결하려면 Identity Synchronization for Windows를 설치하기 전에 SUNWtls 패키지를 제거합니다.
활성 디렉토리 소스를 변경한 후에도 사용자 삭제 동기화를 중지할 수 없습니다. 따라서 동일한 활성 디렉토리 소스에서 동기화된 사용자 목록을 다른 조직 구성 단위(OU)로 매핑한 경우 삭제 동기화가 계속됩니다. 사용자는 디렉토리 서버 인스턴스에서 삭제된 것으로 나타납니다. SUL 매핑이 없는 활성 디렉토리 소스에서 사용자를 삭제하더라도 사용자는 삭제된 것으로 나타납니다.
디렉토리 서버에서 활성 디렉토리로 사용자를 동기화하기 위해 다시 동기화 명령을 실행할 수도 있습니다. 비동기화된 사용자를 비동기화된 그룹에 추가한 경우 그룹 엔티티 생성이 실패합니다.
이 문제를 해결하려면 동기화가 제대로 발생하도록 resync 명령을 두 번 실행해야 합니다.
기본 DN 창에서 찾아보기 버튼을 사용하여 동기화 사용자 목록으로 동기화 범위를 지정할 수 있습니다. 범위를 지정한 경우 하위 접미어가 검색되지 않습니다.
이 문제를 해결하려면 ACI를 추가하여 읽기 및 검색에 대한 익명 액세스를 허용합니다.
Windows 시스템에서 Identity Synchronization for Windows의 코어 구성 요소를 버전 1.1 SP1로 업그레이드하는 중에 이 오류가 발생합니다. updateCore.bat 파일에는 관리 서버에 대한 하드 코딩된 잘못된 참조가 포함되어 있습니다. 따라서 업그레이드 프로세스가 완전하게 수행되지 않습니다.
이 문제를 해결하려면 업그레이드 스크립트에서 관리 서버에 대한 참조의 두 인스턴스를 교체해야 합니다.
업그레이드 스크립트의 51 및 95 줄에서 다음 명령을 교체하십시오. 다음과 같이 줄을 변경합니다.
net stop "Sun Java(TM) System Administration Server 5.2"
위의 줄이 다음과 같이 표시되어야 합니다.
net stop admin52-serv
지정한 변경을 한 후 업그레이드 스크립트를 다시 실행하십시오.
활성 디렉토리에 대한 디렉토리 서버의 Windows 작성 표현식의 경우 cn=%cn% 흐름이 사용자와 그룹 모두에 적용됩니다. 다른 모든 조합의 경우 동기화 중에 Identity Synchronization for Windows에서 오류가 발생합니다.
dn: user1, ou=isw_data 사용자를 기존 그룹인 dn: DSGroup1,ou=isw_data에 추가하는 시나리오를 가정합니다. 사용자를 그룹에서 삭제한 경우, 즉 삭제 작업을 수행한 경우 그룹의 uniquemember가 수정됩니다. 동일한 사용자가 동일한 DN을 갖고 있는 그룹에 추가되는 것을 가정해봅니다. userdn: user1, ou=isw_data의 경우 추가 작업이 수행됩니다.
삭제가 이루어지기 전에 디렉토리 서버에서 활성 디렉토리로 추가 작업이 이루어지고 있는 경우 사용자가 이미 있음을 나타내는 예외를 Identity Synchronization for Windows에서 로깅할 수 있습니다. 동기화 중에 삭제 작업 전에 추가 작업이 수행되는 경쟁 조건이 발생합니다. 따라서 활성 디렉토리에서 예외를 로그하게 됩니다.
Identity Synchronization for Windows 제거 프로그램이 현지화되어 있지 않습니다. WPSyncResources_X.properties 파일이 /opt/sun/isw/locale/resources 디렉토리에 설치되지 않습니다.
이 문제를 해결하려면 installer/locale/resources 디렉토리에서 누락된 WPSyncResources_X.properties 파일을 직접 복사합니다.
관리 서버를 실행하기 전에 Java Development Kit 1.5.0_06을 설치 및 설정합니다.
Identity Synchronization for Windows의 텍스트 기반 설치를 수행할 때 관리자 비밀번호를 비워두고 return을 입력하면 설치 프로그램이 종료됩니다.
Windows 플랫폼에서는 Identity Synchronization for Windows가 사용하는 Message Queue 3.5에 길이가 1KB 미만인 PATH 값이 필요합니다. 더 긴 값은 잘립니다.
Windows에서 Identity Synchronization for Windows는 영어와 일본어 로켈만 지원합니다.
Directory Server Enterprise Edition 6.0에서 Identity Synchronization for Windows용 디렉토리 서버 플러그인이 디렉토리 서버 설치와 함께 설치됩니다. Identity Synchronization for Windows 설치 프로그램은 디렉토리 서버 플러그인을 설치하지 않습니다. 대신 Identity Synchronization for Windows는 플러그인을 구성만 합니다.
이 릴리스의 Identity Synchronization for Windows에서 텍스트 기반 설치 프로그램은 설치 프로세스 중에 Identity Synchronization for Windows용 디렉토리 서버 플러그인을 구성하도록 요청하지 않습니다. 해결책으로 Identity Synchronization for Windows 설치가 완료된 후 터미널 창에서 Idsync dspluginconfig 명령을 실행합니다.
Windows 시스템에서 일본어 로켈로 설치하는 경우 Identity Synchronization for Windows 사용자 인터페이스가 완전히 현지화되지 않습니다.
이 문제를 해결하려면 설치를 시작하기 전에 PATH 환경 변수에 unzip.exe를 포함시킵니다.
Windows 시스템의 설치 프로그램 및 제거 프로그램이 국제화되지 않았습니다.
Identity Synchronization for Windows 온라인 도움말 내용에 CCK 로켈에 대한 멀티바이트 문자 대신 사각형이 표시됩니다.
디렉토리 서버 비밀번호 호환 모드 pwd-compat-mode를 DS6-migration-mode 또는 DS6-mode로 설정할 때 디렉토리 서버에서 활성 디렉토리로의 계정 잠금 동기화가 실패합니다.
활성 디렉토리 도메인 관리자 비밀번호가 변경되면 Identity Synchronization for Windows 콘솔에서 경고를 표시하는 것으로 나타났습니다. 올바른 비밀번호를 사용하는 경우에도 Invalid credentials for Host-hostname.domainnname 경고가 표시됩니다.