本節列出已知問題。這些已知問題與變更請求號碼相關。
伺服器在執行線上匯出、備份、復原或建立索引時若停止,目錄伺服器會出現當機的現象。
從 LDIF 匯入項目時,目錄伺服器未產生 createTimeStamp 與 modifyTimeStamp 屬性。
LDIF 匯入在速度方面經過最佳化。匯入程序不會產生這些屬性。若要解決此限制,請對項目進行增加作業而不是匯入作業。或是在匯入之前預先處理 LDIF 以增加屬性。
pwdChangedTime 屬性與 usePwdChangedTime 屬性定義於 Directory Server 5 2004Q2、2005Q4 及目前的版本中。舊版中並未定義這些屬性。在已定義這些屬性的版本中使用密碼過期定義某項目時,該項目會包含 pwdChangedTime 屬性與 usePwdChangedTime 屬性。將該項目複寫至執行舊版的供應者時,供應者無法處理該項目的修改作業。因為供應者在其模式中並沒有 pwdChangedTime 屬性,所以會發生模式違規錯誤。
usePwdChangedTime 目前已停用。取而代之的是作業屬性 pwdChangedTime 會在密碼修改時進行更新。
若要解決此問題,請在 00core.ldif 檔案中定義 pwdChangedTime 屬性與 usePwdChangedTime 屬性。對於複寫拓撲中未定義這些屬性的所有伺服器,皆必須定義這些屬性。屬性類型定義如下所示。
attributeTypes: ( 1.3.6.1.4.1.42.2.27.8.1.16 NAME 'pwdChangedTime' DESC 'Directory Server defined password policy attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE USAGE directoryOperation X-DS-USE 'internal' X-ORIGIN 'Sun Directory Server' ) attributeTypes: ( 1.3.6.1.4.1.42.2.27.9.1.597 NAME 'usePwdChangedTime' DESC 'Directory Server defined attribute type' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE X-DS-USE 'internal' X-ORIGIN 'Sun Directory Server' )
複寫拓樸中若還有舊伺服器存在時,請勿將新伺服器遷移至新的密碼策略。
將複本降級為專屬的唯讀用戶,重新升級伺服器使得複寫中斷。
若使用長度為零的密碼連結至目錄,則該連結將會是匿名連結。此連結並非簡單連結。利用執行測試連結以認證使用者的第三方應用程式,在此類應用程式無法辨識此運作方式時,可能會產生安全性漏洞。
有些目錄伺服器錯誤訊息會參照資料庫錯誤指南,但此指南並不存在。若嚴重錯誤的意義並未載明而您又無法瞭解時,請聯絡 Sun 支援。
移除軟體時,dsee_deploy uninstall 指令不會停止或刪除現有的伺服器實例。
若要解決此限制,請遵循「Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide」中的指示進行。
即使在供應者複本上清除屬性值後,目錄伺服器仍保留用戶複本上的 pwdFailureTime 值。這些值在複寫 userPassword 的修改後仍會保留。
從 zip 發行檔安裝軟體時,若預定將以目錄服務控制中心管理伺服器,請勿使用 -N (--no-cacao) 選項。Common Agent Container 日後將無法個別安裝。
若在目標尾碼上使用 SSL 用戶端認證,dsconf accord-repl-agmt 指令即無法使複寫協議的認證特性維持一致。
若要解決此問題,請依照下列步驟將供應者憑證儲存於用戶的配置中。所顯示的範例指令係以同一部主機上的兩個實例為基礎。
將憑證匯出為檔案。
下列範例說明如何就伺服器的 /local/supplier 與 /local/consumer 執行匯出。
$ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert |
交換用戶端與供應者憑證。
下列範例說明如何就伺服器的 /local/supplier 與 /local/consumer 執行交換。
$ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt |
在用戶上增加 SSL 用戶端項目,包括 usercertificate;binary 屬性上的 supplierCert 憑證,以及適當的 subjectDN。
在用戶上增加複寫管理員 DN。
$ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN |
更新 /local/consumer/alias/certmap.conf 中的規則。
使用 dsadm start 指令重新啟動兩部伺服器。
目錄服務控制中心會將值以字串方式排序。因此,當您在目錄服務控制中心中對數字進行排序時,這些數字的排序方式與字串相同。
對 0、20 與 100 進行向上排序的結果為 0、100、20。對 0、20 與 100 向下排序的結果為 20、100、0。
無法在目錄服務控制中心中註冊具有多位元組名稱的目錄伺服器實例。
若要解決此問題,請以下列方式配置 Common Agent Container。
# cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start |
目錄伺服器無法正確剖析含有退出引號或單一退出逗號的 ACI 目標 DN。下列修改範例會導致語法錯誤。
dn:o=mary\"red\"doe,o=example.com changetype:modify add:aci aci:(target="ldap:///o=mary\"red\"doe,o=example.com") (targetattr="*")(version 3.0; acl "testQuotes"; allow (all) userdn ="ldap:///self";)
dn:o=Example Company\, Inc.,dc=example,dc=com changetype:modify add:aci aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com") (targetattr="*")(version 3.0; acl "testComma"; allow (all) userdn ="ldap:///self";)
但是,含有多個退出逗號的範例卻能正確進行剖析。
dpconf 指令在互動模式中使用時會顯示兩次「輸入 "cn=Directory Manager" 密碼:」提示。
以法文語言環境執行伺服器管理指令時,指令所顯示的某些訊息缺少單引號。
目錄服務控制中心不允許您管理 PKCS#11 外部安全性裝置或記號。
在 Windows 系統上使用 SASL 加密時,無法進行 SASL 認證。
指定國家/地區後,目錄服務控制中心無法產生自行簽署的憑證。
目錄服務控制中心未正確顯示 userCertificate 二進位值。
如果設定了 passwordRootdnMayBypassModsCheck 配置屬性,在修改其他使用者的密碼時,該屬性名稱不會反映出伺服器此時允許所有的管理員忽略密碼語法檢查。
從 zip 發行檔安裝或使用 dsadm 指令安裝前,請勿設定 LD_LIBRARY_PATH。
允許您複製現有伺服器配置的目錄服務控制中心功能,不允許您複製外掛程式配置。
在 Windows 系統上,dsconf 指令無法匯入在 LDIF 檔案名稱中含有雙位元組字元的 LDIF。
若要解決此問題,請變更 LDIF 檔案名稱,使其不包含雙位元組字元。
使用以中文、日文或韓文語言環境執行的瀏覽器時,目錄服務控制中心於建立伺服器實例時所產生的記錄含有垃圾字元。
若要解決此問題,請在要在其中建立新伺服器實例的 Common Agent Container 上執行下列指令。
cocaoadm stop cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" cacaoadm start |
dsadm enable-service 指令與 Sun Cluster 搭配使用時,無法正確運作。
使用以法文語言環境執行的瀏覽器時,目錄服務控制中心中會出現重複的單引號。
對 Common Agent Container 註冊 Monitoring Framework 元件時,dsee_deploy 指令停止回應。
根 DSE 的 supportedSSLCiphers 屬性列出了實際上不受伺服器支援的 NULL 加密密碼。
至少必須啟動目錄伺服器一次,dsadm enable-service 才能在系統重新開機時重新啟動目錄伺服器。
目錄服務控制中心與 dsconf 指令皆無法讓您配置目錄伺服器處理無效外掛程式簽名的方式。預設運作方式是驗證外掛程式簽名,但不要求它們的有效性。目錄伺服器會記錄無效簽名的警告。
若要變更伺服器的運作方式,請在 cn=config 上調整 ds-require-valid-plugin-signature 與 ds-verify-valid-plugin-signature 屬性。這兩個屬性的值為 on 或 off。
目錄服務控制中心不允許您瀏覽配置為應傳回參照給其他尾碼的尾碼。
在 Windows 系統上完成安裝並建立伺服器實例後,安裝與伺服器實例資料夾的檔案權限允許所有使用者進行存取。
若要解決此問題,請變更安裝與伺服器實例資料夾的權限。
指定了多項實例時 dsadm autostart 指令失敗,同時該指令由於其中一個實例而失敗。
dsadm autostart 指令不支援實例檔案名稱中的空格。
dsmig 指令沒有遷移未在升級與遷移文件中識別的某些配置屬性值。
有關的配置屬性如下:
nsslapd-db-durable-transaction
nsslapd-db-replication-batch-val
nsslapd-disk-low-threshold
nsslapd-disk-full-threshold
在全面更新具有重要寫入負載的主要複本後,歷經全面更新的主要複本在某些情況下未正確設定其產生 ID。複寫因此失敗。
在 Internet Explorer 6 中使用目錄服務控制中心啟用目錄伺服器的參照模式時,確認參照模式視窗中的文字遭截斷。
若要解決此問題,請使用其他瀏覽器,如 Mozilla Web 瀏覽器。
建立或增加新憑證後必須重新啟動目錄伺服器,變更方可生效。
升級複本並將伺服器移至新系統後,必須重建複寫協議才能使用新的主機名稱。目錄服務控制中心可讓您刪除現有的複寫協議,但無法讓您建立新的協議。
在 Red Hat 系統上,dsadm autostart 指令不能始終確保在開機時啟動伺服器實例。
目錄伺服器未正確處理資料庫名稱、檔案名稱與路徑名稱字串內的中文多位元組字元。
在建立含有中文多位元組字元的目錄伺服器尾碼時若遇到此問題,請指定不含多位元組字元的資料庫名稱。例如,在指令行建立尾碼時,請明確設定 dsconf create-suffix 指令的 --db-name 選項。
$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN |
請勿使用尾碼的預設資料庫名稱。
在 Windows 系統上,將目錄伺服器作為服務啟用時,請勿使用 dsadm cert-pwd-prompt=on 指令。
即使已對該用戶執行全面更新,下列複寫錯誤訊息仍始終出現在用戶協議中。
Error sending replication updates. Error Message: Replication error updating replica: Unable to start a replication session : transient error - Failed to get supported proto. Error code 907. Operational Status Error sending updates to server host:port. Error: Replication error updating replica: Incremental update session abored : fatal error - Send extended op failed. Error code: 824.
若要清除這些訊息,請停用複寫協議,然後啟用該協議。
在多主節點複寫配置中停止具有大量負載的多主節點複本時,伺服器可能需要數分鐘才能停止。
在將讀寫模式設定為唯讀的主伺服器上執行匯入作業後,目錄伺服器無法重新啟動。
在配置 DSML 時,dsconf 指令未提示適當的 dsSearchBaseDN 設定。
在 Windows 系統上,目錄伺服器在實例的基底名稱為 ds 時無法啟動。
您必須配置 DSML,才能使用 Java ES Monitoring Framework 監視 DSML。
使用以中文語言環境執行的瀏覽器時,目錄服務控制中心中伺服器群組的「更多」連結不正確,因而出現應用程式錯誤頁面。
從 zip 發行檔進行安裝時,dsee_deploy 指令未提供用以配置 SNMP 與串流配接卡連接埠的選項。
dsconf help-properties 指令設定為只有在建立實例後才能正常運作。此外,dsml-client-auth-mode 指令值的正確清單應為 client-cert-first | http-basic-only | client-cert-only。
若要在 Windows XP 上使用目錄服務控制中心,必須停用 Guest 帳號。此外,必須將登錄機碼 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 設定為 0,才能順利進行認證。
在 Solaris 與 Red Hat 系統上從 zip 發行檔進行安裝後,目錄伺服器在重新啟動 Common Agent Container (cacao) 後,不會透過 SNMP 顯示。
在 Solaris 系統上,若要解決此項問題,請套用目錄伺服器、目錄代理伺服器與 Directory Server Resource Kit 作業系統需求中所列的所有建議修補程式。
entrycmp、fildif、insync、mmldif 與 ns-accountstatus 等指令的輸出未本土化。
dsccmon、dsccreg、dsccsetup 與 dsccreg 等指令所顯示的部分輸出未本土化。
第一次存取目錄服務控制中心並註冊目錄伺服器實例後,警告與異常會寫入 Sun Java Web Console 記錄中。
您可以放心地忽略「無法從指令輸出中擷取 "server-pid" 」警告與異常。異常輸出顯示如下。
StandardWrapperValve[wizardWindowServlet]: Servlet.service() for servlet wizardWindowServlet threw exception java.lang.IllegalStateException: Cannot forward after response has been committed
在非英文語言環境中設定目錄服務控制中心時,有關建立目錄服務控制中心登錄的記錄訊息未完全本土化。部分記錄訊息以設定目錄服務控制中心時所使用的語言環境顯示。
在 Windows 系統上以 Java ES 安裝程式手動重新開啟下列安裝後,未執行目錄伺服器。但工作管理員中顯示目錄伺服器已在執行中。發生這種情況時,無法從工作管理員重新啟動目錄伺服器。
若要解決此問題,請從 logs 資料夾中移除該程序 ID。
從 Directory Server 5 2005Q1 進行升級時無法執行 dsmig migrate-data -R -N 指令。
若要解決有關自動遷移資料的問題,請依照「Sun Java System Directory Server Enterprise Edition 6.0 Migration Guide」中的第 3 章「Migrating Directory Server Manually」說明,手動遷移資料。
在 HP-UX 系統上,使用 NSPR 程式庫的應用程式在使用 gdb 進行調查後損毀並傾印記憶體。將 gdb 附加到執行中的目錄伺服器實例,再使用 gdb quit 指令時,就會發生此問題。
使用 Internet Explorer 6 存取目錄服務控制中心時,儲存尾碼的索引配置變更會導致出現空值錯誤。作業的進度視窗呈現凍結狀態。
若要解決此問題,請使用其他瀏覽器 (如基於 Mozilla 的瀏覽器) 存取目錄服務控制中心。
當您透過目錄服務控制中心編輯目錄項目時,若同時使用其他方法變更該項目,則在重新整理顯示畫面後不會顯示變更。
對於全域密碼策略的「使用者可變更」欄位,目錄服務控制中心顯示錯誤的狀態 pwd-user-change-enabled。
若要解決此問題,請使用 dsconf(1M) 指令讀取 pwd-user-change-enabled 伺服器特性。
$ dsconf get-server-prop -w /tmp/ds.pwd pwd-user-change-enabled pwd-user-change-enabled : off |
從 Directory Server 5.2 升級時,若憑證資料庫包含不信任的憑證,dsmig migrate-config 指令即會失敗。若在建立憑證資料庫後從未使用,也未設定 SSL,就會出現此問題。
若要解決此問題,請執行下列步驟。
移除新的空 Directory Server 6 實例。
重新命名 Directory Server 5.2 實例所使用的 ServerRoot/alias/slapd-serverID-cert8.db 與 ServerRoot/alias/slapd-serverID-key3.db 檔案。
$ cd ServerRoot/alias $ mv slapd-serverID-cert8.db slapd-serverID-cert8.db.old $ mv slapd-serverID-key3.db slapd-serverID-key3.db.old |
再次執行升級與遷移程序。
在 HP-UX 系統上,啟動及停止目錄伺服器實例時,目錄服務控制中心顯示 null 指標異常的錯誤訊息。此錯誤影響目錄服務控制中心,而不影響目錄伺服器實例。
遷移目錄伺服器配置時,若使用了 -R 選項,但未複寫現有配置中的所有尾碼,dsmig migrate-config 指令即會失敗。
若要解決此問題,請執行下列步驟。
停止舊的伺服器。
在舊的伺服器實例 (DN 為 cn=changelog5,cn=config 的 dse.ldif 配置檔案項目) 中,以雜湊標記 # 將下列屬性變成註釋。
#nsslapd-changelogmaxage: ... #nsslapd-changelogmaxentries: ...
記錄這些屬性的值。
使用 dsmig migrate-config 指令遷移伺服器配置。
在新的伺服器實例上,針對具有特定配置項目 (DN 格式為 cn=replica,cn=suffix-dn,cn=mapping tree,cn=config) 的所有尾碼執行下列指令。
$ dsconf set-suffix-prop -p port suffix-dn repl-cl-max-age:old-value |
其中,old-value 表示舊伺服器實例中的 nsslapd-changelogmaxage 值。
$ dsconf set-suffix-prop -p port suffix-dn repl-cl-max-entry-count:old-value/nbr-suffixes |
其中,old-value 表示舊伺服器實例中的 nsslapd-changelogmaxentries 值。nbr-suffixes 是複寫尾碼的總數。
目錄伺服器不允許在沒有任何其他密碼策略功能的情況下,單獨啟用密碼品質檢查。
若要解決此問題,請在啟用密碼品質檢查以外,至少再啟用一個密碼策略功能。下列範例啟用了密碼品質檢查,並且同時執行了再次變更密碼前所需的最小時間長度。
$ dsconf set-server-prop pwd-check-enabled:on pwd-min-age:1h |