本章包含发行 Identity Synchronization for Windows 时可用的特定于产品的重要信息。
本章包含以下部分:
本部分列出了此发行版中修复的错误。
Identity Synchronization for Windows 必须支持 Active Directory 和目录服务器之间的组同步。
如果使用子后缀链接来配置 LDAP 数据库,则无法使用 Identity Synchronization for Windows 修改链接数据库的记录。用户只能在链接数据库中创建或删除条目。如果未装入插件,则可以执行所有操作,包括创建、删除和更新。
故障转移设置中的辅助故障转移服务器必须具有 o=NetscapeRoot DIT 才能配置服务器。
prepds 命令针对多主复制设置中的多个主机选项抛出错误。因此,用户无法执行多主复制设置。
安装 Identity Synchronization for Windows 时,受支持平台的列表(在“待办事项”列表中)中缺少有关 Linux 的信息。
未使用新的密码策略属性执行帐户锁定和激活同步。
应该执行组类型映射,以便在 Active Directory 和目录服务器之间进行同步。
Identity Synchronization for Windows 未正确映射组的用户名属性。
Identity Synchronization for Windows 不检查组和组成员是否属于同一 SUL。
关闭主要主机时,Identity Synchronization for Windows 无法将辅助主机中的用户创建、修改和删除操作与 Windows Active Directory 进行同步。
Identity Synchronization for Windows 不会将目录服务器中的用户创建、修改或删除操作与 Active Directory 进行同步。当主要主机和辅助主机列表中的第 N 个辅助主机关闭时会发生此问题。
由于不再使用管理用户,因此由 Identity Synchronization for Windows 创建的管理用户变得多余。应该删除创建 uid=admin 用户的操作。
单击目录信息树以访问目录服务器控制台时,Identity Synchronization for Windows 抛出错误。
即使未选择配置目录服务器插件选项,Identity Synchronization for Windows 安装程序仍会提示重新启动目录服务器。
Identity Synchronization for Windows 的命令行用法错误地引用了命令行用法中的链接用户。
卸载程序应该提示用户手动卸载管理服务器。
管理服务器未列在由 Identity Synchronization for Windows 安装程序安装的组件列表中。
尝试同步嵌套组时,由于目前不支持此类同步,因此 Active Directory 连接器和目录服务器连接器会崩溃。
本部分列出了发行时的已知问题和限制。
本部分列出了产品限制。限制并不总是与更改请求号相关联。
在某些情况下,更改已安装的 Directory Server Enterprise Edition 产品文件的文件权限可能会导致软件无法正常工作。
要解除此限制,请以具有合适用户和组权限的用户身份安装产品。
如果安装了 Identity Synchronization for Windows 核心服务的系统遭到损坏,则需要再次安装该系统。Identity Synchronization for Windows 核心服务没有故障转移功能。
以 LDIF 格式备份 ou=services(Identity Synchronization for Windows DIT 的配置分支),并在重新安装 Identity Synchronization for Windows 时使用此信息。
安装 Windows 2003 SP1 时,默认情况下用户可以有一小时的时间使用旧密码访问其帐户。
因此,当用户在 Active Directory 上更改密码时,即需即用同步属性 dspswvalidate 将被设置 True,因此可以使用旧密码进行目录服务器验证。此时,在目录服务器上同步的密码是先前的旧密码,而不是当前的 Active Directory 密码。
有关如何禁用此功能的详细信息,请参见 Microsoft Windows 支持文档。
要成功地卸载管理服务器,请在删除管理服务器软件包之前删除 /etc/mps/admin/v5.2/shared/config/serverroot.conf。
在硬件发生故障或应用程序发生错误后,可能需要通过某些同步目录源中的备份来恢复数据。
但是在完成数据恢复后,必须执行一个附加过程,以确保同步能够继续正常进行。
连接器通常会保留已传播到消息队列的最后一个更改的相关信息。
此信息(称为连接器状态)用于确定连接器必须从其目录源中读取的后续更改。如果从备份恢复同步目录源的数据库,则连接器状态可能不再有效。
适用于 Active Directory 和 Windows NT 的 Windows 连接器还会维护一个内部数据库。该数据库是已同步的数据源的副本。该数据库用于确定在连接的数据源中所发生的更改。从备份恢复已连接的 Windows 源之后,内部数据库将不再有效。
通常,idsync resync 命令可用于重新填充已恢复的数据源。
重新同步无法用于同步密码,但存在一个例外情况。-i ALL_USERS 选项可用于使目录服务器中的密码无效。这适用于重新同步数据源为 Windows 的情况。另外,SUL 列表只能包含 Active Directory 系统。
但是,并非在所有情况下都适合使用 idsync resync 命令。
在执行下面详细介绍的任一步骤之前,请先确保已停止同步。
按照同步设置,将 idsync resync 命令与相应的修饰符设置结合使用。使用已恢复的目录源作为 resync 操作的目标。
如果已恢复的数据源为同步目标,则可以执行与双向同步相同的过程。
如果已恢复的数据源为同步源,则仍可使用 idsync resync 重新填充已恢复的目录源。无需更改 Identity Synchronization for Windows 配置中的同步流设置。idsync resync 命令允许您使用-o Windows|Sun 选项设置单独的同步流(独立于已配置的同步流)。
可以考虑将以下方案作为示例。
在目录服务器和 Active Directory 之间设置双向同步。
必须从备份恢复 Microsoft Active Directory 服务器的数据库。
在 Identity Synchronization for Windows 中,此 Active 目录源是为 SUL AD 配置的。
在此 Active 目录源和 Sun 目录服务器源之间设置修改、创建和删除的双向同步。
停止同步。
idsync stopsync -w - -q - |
重新同步 Active 目录源。此外,再重新同步修改、创建和删除。
idsync resync -c -x -o Sun -l AD -w - -q - |
重新启动同步。
idsync startsync -w - -q - |
以下过程与特定的目录源相关。
如果可以从备份恢复 Active Directory,请按照双向同步或单向同步部分所描述的过程执行操作。
但是,如果发生了严重错误,可能必须使用其他域控制器。在这种情况下,请按照以下步骤更新 Active Directory 连接器的配置。
启动 Identity Synchronization for Windows 管理控制台。
选择“配置”选项卡。展开“目录源”节点。
选择相应的 Active 目录源。
单击“编辑控制器”,然后选择新的域控制器。
将选定的域控制器作为域的 NT PDC FSMO 角色属主
保存该配置。
在运行 Active Directory 连接器的主机上停止 Identity Synchronization 服务。
删除 ServerRoot/isw-hostname/persist/ADPxxx 下除目录之外的所有文件。其中 xxx 为 Active Directory 连接器标识符的数字部分。
例如,如果 Active Directory 连接器标识符为 CNN100,则该值为 100。
在运行 Active Directory 连接器的主机上启动 Identity Synchronization 服务。
根据您的同步流,按照单向同步或双向同步部分所描述的步骤执行操作。
严重错误可能会影响追溯更改日志数据库或/和包含同步用户的数据库。
追溯更改日志数据库。
追溯更改日志数据库中可能已发生目录服务器连接器无法处理的更改。只有在备份中包含某些未处理的更改时,恢复追溯更改日志数据库才有意义。将 ServerRoot/isw-hostname/persist/ADPxxx/accessor.state 文件中的最新条目与备份中的最新 changenumber 进行比较。如果 accessor.state 中的值大于或等于备份中的 changenumber,请不要恢复数据库。 此时请重新创建数据库。
重新创建追溯更改日志数据库后,请确保运行 idsync prepds。或者,在 Identity Synchronization for Windows 管理控制台的“Sun 目录源”窗口中单击“准备目录服务器”。
目录服务器连接器检测到已重新创建追溯更改日志数据库,并记录一条警告消息。您可以忽略此消息,而不会有任何影响。
同步的数据库。
如果没有备份可用于同步的数据库,则必须重新安装目录服务器连接器。
如果可以从备份恢复同步的数据库,请按照双向同步或单向同步部分所描述的过程执行操作。
本部分列出了已知问题。已知问题与更改请求号相关联。
在 Windows 2003 系统上默认设置了一个标记,指出用户下次登录时必须更改密码。在 Windows 2000 系统上,默认情况下未设置该标记。
在设置了用户在下次登录时必须更改密码标记的 Windows 2000 和 2003 系统上创建用户时,将在目录服务器上创建没有密码的用户。用户下次登录到 Active Directory 时必须更改密码。更改将使目录服务器上的密码失效。 更改密码后,这些用户在下次通过目录服务器验证时,将强制执行按需同步。
用户在更改 Active Directory 上的密码之前,将无法通过目录服务器验证。
尝试使用具有 Remote Administration 2.1 的 PC Anywhere 10 查看 Identity Synchronization for Windows 控制台时可能会出现问题。PC Anywhere 9.2 则不会产生错误。如果问题仍然存在,请删除远程管理软件。或者,也可以使用 VNC。目前为止,VNC 在显示 Identity Synchronization for Windows 控制台时尚未出现问题。
如果在使用 FAT 32 系统格式化的 Windows 系统上安装 Identity Synchronization for Windows,则没有可用的 ACL。此外,也没有为设置实施任何访问限制。要确保安全,请只使用 Windows NTFS 系统安装 Identity Synchronization for Windows。
使用命令行对使用方配置目录服务器插件时,该插件不会为使用方创建新的子组件 ID 。该插件配置不会为使用方创建新的 ID。
Identity Synchronization for Windows 的密码同步插件甚至在检查 accountlock 和 passwordRetryCount 之前,即尝试为尚未同步的帐户绑定到 Active Directory。
要解决此问题,请在 LDAP 服务器上强制执行密码策略。此外,还要将 Access Manager 配置为在用户搜索中使用以下过滤器:
(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )
但是,如果通过 LDAP 进行的登录尝试过多,此解决方法会抛出有关找不到用户的错误。此解决方法不会阻止 Active Directory 帐户。
如果复制 o=NetscapeRoot,Identity Synchronization for Windows 控制台将无法启动。
在目录服务器上同步组(包含尚未创建的用户的信息)时,Identity Synchronization for Windows 抛出错误。
Identity Synchronization for Windows 插件无法搜索链接后缀。因此,无法对目录服务器实例执行修改和绑定操作。
Identity Synchronization for Windows 应该支持将 Identity Synchronization for Windows 配置导出到 XML 文件中。
启用组同步功能时,Identity Synchronization for Windows 将在 Active Directory 和目录服务器之间同步用户和组信息。理想情况下,同步只应在从命令行发出 resync 命令之后发生。
如果您在安装了 SUNWtls 软件包版本 3.11.0 的 Solaris 系统上安装 Identity Synchronization for Windows,则管理服务器可能无法启动。要解决此问题,请在安装 Identity Synchronization for Windows 之前卸载 SUNWtls 软件包。
即使在更改 Active 目录源之后,仍然无法停止用户删除同步。因此,将同步用户列表映射到同一 Active 目录源中的不同组织单位 (organizational unit, OU) 时,删除同步仍会继续。用户在目录服务器实例中显示为已删除。即使已经从没有 SUL 映射的 Active 目录源中删除用户,该用户仍显示为已删除。
您可能尝试运行重新同步命令,以便将用户从目录服务器同步到 Active Directory。如果将未同步的用户添加到未同步的组,将无法创建组实体。
要解决此问题,应该运行 resync 命令两次,以便正确进行同步。
可以通过“基标识名”窗格中的“浏览”按钮,使用同步用户列表来指定同步范围。指定范围后,将不会检索子后缀。
要解决此问题,请添加相应的 ACI,以便允许通过匿名访问进行读取和搜索。
在 Windows 系统上将 Identity Synchronization for Windows 的核心组件升级到版本 1.1 SP1 时发生此错误。updateCore.bat 文件包含对管理服务器的硬编码错误引用。因此,升级过程无法成功完成。
要解决此问题,用户需要从升级脚本中替换两个管理服务器引用实例。
在升级脚本的第 51 行和第 95 行替换以下指令。按如下方式更改行。
net stop "Sun Java(TM) System Administration Server 5.2"
此行应显示为:
net stop admin52-serv
进行指定更改后,请重新运行升级脚本。
对于目录服务器到 Active Directory 的 Windows 创建表达式,流 cn=%cn% 同时适用于用户和组。对于任何其他组合,Identity Synchronization for Windows 都会在同步过程中抛出错误。
请考虑一种方案,其中用户 dn: user1, ou=isw_data 已添加到现有组 dn: DSGroup1,ou=isw_data。从组中删除用户时(即执行了删除操作),将会修改该组的 uniquemember。假设将同一用户添加到具有相同 DN 的组中。对于 userdn: user1, ou=isw_data,将执行添加操作。
如果添加操作先于删除操作从目录服务器流向 Active Directory,Identity Synchronization for Windows 可能会记录异常,指出该用户已经存在。在同步过程中,如果添加操作先于删除操作执行,则可能会发生竞争情形,从而导致 Active Directory 记录异常。
Identity Synchronization for Windows 卸载程序未本地化。无法将 WPSyncResources_X.properties 文件安装到 /opt/sun/isw/locale/resources 目录中。
要解决此问题,请从 installer/locale/resources 目录中手动复制缺少的 WPSyncResources_X.properties 文件。
在运行管理服务器之前安装和设置 Java Development Kit 1.5.0_06。
在执行基于文本的 Identity Synchronization for Windows 安装时,将管理员密码留空并按回车键将导致退出安装程序。
在 Windows 平台上,Identity Synchronization for Windows 所用的 Message Queue 3.5 要求 PATH 值的长度小于 1 KB。较长的值将被截断。
在 Windows 上,Identity Synchronization for Windows 只支持英语和日语语言环境。
在 Directory Server Enterprise Edition 6.0 中,Identity Synchronization for Windows 的目录服务器插件是随目录服务器一起安装的。Identity Synchronization for Windows 安装程序不会安装目录服务器插件。Identity Synchronization for Windows 只配置插件。
在此版本的 Identity Synchronization for Windows 中,基于文本的安装程序不会在安装过程中提示您对 Identity Synchronization for Windows 的目录服务器插件进行配置。要解决此问题,可于 Identity Synchronization for Windows 安装完成后在终端窗口中运行 Idsync dspluginconfig 命令。
在 Windows 系统上的日语语言环境下安装 Identity Synchronization for Windows 后,Identity Synchronization for Windows 用户界面未完全本地化。
要解决此问题,请在开始安装前使 PATH 环境变量包含 unzip.exe。
Windows 系统上的安装程序和卸载程序未国际化。
在简体中文、繁体中文以及韩文语言环境下,Identity Synchronization for Windows 联机帮助内容显示方框而非多字节字符。
将目录服务器密码兼容模式 pwd-compat-mode 设置为 DS6-migration-mode 或 DS6-mode 时,无法执行目录服务器到 Active Directory 的帐户锁定同步。
更改 Active Directory 域管理员密码时,Identity Synchronization for Windows 控制台显示警告。显示的警告为主机 hostname.domainnname 的证书无效,即时使用的密码有效时也是如此。