目錄伺服器中的已知問題與限制

本節列出發行時已知的問題與限制。

目錄伺服器限制

本節列出產品限制。限制不一定與變更請求號碼相關。

請勿手動變更檔案權限。

某些情況下，變更已安裝的 Directory Server Enterprise Edition 產品檔案之檔案權限，可能會使得軟體無法正常運作。請僅依照產品文件或 Sun 技術支援的指示變更檔案權限。

若要解決此限制，請以具有適當使用者與群組權限的使用者身份安裝產品。

請勿複寫 cn=changelog 尾碼。

雖然您可以設定 cn=changelog 尾碼的複寫，但進行此動作有可能會對複寫作業有所影響。請勿複寫 cn=changelog 尾碼。

在 Windows 2003 系統中，請勿使用在德文語言環境下透過 dsee_deploy 指令從 zip 發行檔安裝的軟體。

在德文語言環境下的 Windows 2003 上執行時，請使用 Java ES 發行檔從原生套裝軟體中安裝。

於 Sun Cluster 上進行容錯移轉後，資料庫快取可能會過時。

在 Sun Cluster 上執行目錄伺服器並且設定 nsslapd-db-home-directory 使用非共用的目錄時，會有多個實例共用資料庫快取檔案。進行容錯移轉後，新節點上的目錄伺服器實例會使用可能已過時的資料庫快取檔案。

若要解決此限制，請使用共用的 nsslapd-db-home-directory 目錄，或在目錄伺服器啟動時有系統地移除 nsslapd-db-home-directory 下的檔案。

當 LD_LIBRARY_PATH 含有 /usr/lib 時，會載入錯誤的 SASL 程式庫。

當 LD_LIBRARY_PATH 含有 /usr/lib 時，會使用錯誤的 SASL 程式庫，進而導致 dsadm 指令在安裝後無法執行。

使用 LDAP 取代作業，變更 cn=config 屬性。

cn=config 的 LDAP 修改作業只能使用取代子作業。任何增加或刪除屬性的作業都會遭到拒絕，並產生錯誤 53：DSA 無法執行。雖然在 Directory Server 5 中可以增加或刪除屬性或屬性值，但更新在未經任何值的驗證情況下即已套用至 dse.ldif 檔案，且 DSA 內部狀態直到 DSA 停止並重新啟動後才進行了更新。

---

備註 –

cn=config 配置介面已停用。可能的話，請使用 dsconf 指令。

---

若要解決此限制，請以 LDAP 修改取代子作業來替代增加或刪除子作業。功能並不會減損。再者，DSA 配置的狀態在變更後將更容易預測。

在 Windows 系統上，目錄伺服器依預設不允許「Start TLS」。

只有 Windows 系統上的伺服器實例會受此問題影響。此問題導因於 Windows 系統的效能在使用「Start TLS」時不佳所致。

若要解決此問題，請考量使用含有 -P 選項的 dsconf 指令，直接透過 SSL 連接埠進行連線。若您的網路連線已受到保護，也可以考量使用含有 -e 選項的 dsconf 指令 。此選項可讓您連線至標準連接埠，而不需請求安全連線。

複寫更新向量可參照先前的伺服器。

從複寫拓樸中移除複寫的目錄伺服器實例後，複寫更新向量可能會繼續保有對該實例的參照。因此，可能會發現參照了已不存在的實例。

Common Agent Container 未於開機時啟動。

若要在從本機套裝軟體進行安裝時解決此問題，請以 root 的身份使用 cacaoadm enable 指令。

啟用密碼過期可能導致其他密碼過期。

目錄伺服器現已更新修改密碼時的 pwdChangedTime 作業屬性。由於此屬性甚至會在您啟用密碼過期之前即已更新，因此舊密碼會在啟用密碼過期時立即過期。

當您以第 5 版密碼策略模式執行目錄伺服器時，還有另一種情況也會導致密碼立即過期。若先前曾啟用過密碼過期然後將其關閉，目錄伺服器在 passwordExpirationTime 作業屬性上仍會有時間戳記。因此，當您再次啟用密碼過期時，具有舊的 passwordExpirationTime 作業屬性之密碼，即可能立即過期。

您可以提供使用者寬限登入，以利用 pwdGraceAuthNLimit 變更其密碼。此外，利用第 5 版密碼策略的相容模式執行目錄伺服器時，可以配置目錄伺服器，在使用者的密碼過期前對他們提出警告。請將 passwordExpireWithoutWarning 設定為 off。同時請適當地設定 passwordWarning。

max-thread-per-connection-count 不適用於 Windows 系統。

目錄伺服器配置特性 max-thread-per-connection-count 不適用於 Windows 系統。

Microsoft Windows 的錯誤致使服務啟動類型顯示為停用。

Microsoft Windows 2000 Standard Edition 錯誤導致目錄伺服器服務在從 Microsoft Management Console 中刪除後顯示為停用狀態。

已知的目錄伺服器問題

本節列出已知問題。這些已知問題與變更請求號碼相關。

2113177

伺服器在執行線上匯出、備份、復原或建立索引時若停止，目錄伺服器會出現當機的現象。

2133169

從 LDIF 匯入項目時，目錄伺服器未產生 createTimeStamp 與 modifyTimeStamp 屬性。

LDIF 匯入在速度方面經過最佳化。匯入程序不會產生這些屬性。若要解決此限制，請對項目進行增加作業而不是匯入作業。或是在匯入之前預先處理 LDIF 以增加屬性。

2134435

pwdChangedTime 屬性與 usePwdChangedTime 屬性定義於 Directory Server 5 2004Q2、2005Q4 及目前的版本中。舊版中並未定義這些屬性。在已定義這些屬性的版本中使用密碼過期定義某項目時，該項目會包含 pwdChangedTime 屬性與 usePwdChangedTime 屬性。將該項目複寫至執行舊版的供應者時，供應者無法處理該項目的修改作業。因為供應者在其模式中並沒有 pwdChangedTime 屬性，所以會發生模式違規錯誤。

---

備註 –

usePwdChangedTime 目前已停用。取而代之的是作業屬性 pwdChangedTime 會在密碼修改時進行更新。

---

若要解決此問題，請在 00core.ldif 檔案中定義 pwdChangedTime 屬性與 usePwdChangedTime 屬性。對於複寫拓撲中未定義這些屬性的所有伺服器，皆必須定義這些屬性。屬性類型定義如下所示。

attributeTypes: ( 1.3.6.1.4.1.42.2.27.8.1.16
 NAME 'pwdChangedTime'
 DESC 'Directory Server defined password policy attribute type'
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.24
 SINGLE-VALUE
 USAGE directoryOperation
 X-DS-USE 'internal'
 X-ORIGIN 'Sun Directory Server' )

attributeTypes: ( 1.3.6.1.4.1.42.2.27.9.1.597
 NAME 'usePwdChangedTime'
 DESC 'Directory Server defined attribute type'
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
 SINGLE-VALUE
 X-DS-USE 'internal'
 X-ORIGIN 'Sun Directory Server' )

複寫拓樸中若還有舊伺服器存在時，請勿將新伺服器遷移至新的密碼策略。

2144251

將複本降級為專屬的唯讀用戶，重新升級伺服器使得複寫中斷。

4703503

若使用長度為零的密碼連結至目錄，則該連結將會是匿名連結。此連結並非簡單連結。利用執行測試連結以認證使用者的第三方應用程式，在此類應用程式無法辨識此運作方式時，可能會產生安全性漏洞。

4979319

有些目錄伺服器錯誤訊息會參照資料庫錯誤指南，但此指南並不存在。若嚴重錯誤的意義並未載明而您又無法瞭解時，請聯絡 Sun 支援。

6358392

移除軟體時，dsee_deploy uninstall 指令不會停止或刪除現有的伺服器實例。

若要解決此限制，請遵循「Sun Java System Directory Server Enterprise Edition 6.0 Installation Guide」中的指示進行。

6366948

即使在供應者複本上清除屬性值後，目錄伺服器仍保留用戶複本上的 pwdFailureTime 值。這些值在複寫 userPassword 的修改後仍會保留。

6395603

從 zip 發行檔安裝軟體時，若預定將以目錄服務控制中心管理伺服器，請勿使用 -N (--no-cacao) 選項。Common Agent Container 日後將無法個別安裝。

6401484

若在目標尾碼上使用 SSL 用戶端認證，dsconf accord-repl-agmt 指令即無法使複寫協議的認證特性維持一致。

若要解決此問題，請依照下列步驟將供應者憑證儲存於用戶的配置中。所顯示的範例指令係以同一部主機上的兩個實例為基礎。

1. 將憑證匯出為檔案。

   下列範例說明如何就伺服器的 /local/supplier 與 /local/consumer 執行匯出。

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. 交換用戶端與供應者憑證。

   下列範例說明如何就伺服器的 /local/supplier 與 /local/consumer 執行交換。

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. 在用戶上增加 SSL 用戶端項目，包括 usercertificate;binary 屬性上的 supplierCert 憑證，以及適當的 subjectDN。

4. 在用戶上增加複寫管理員 DN。

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. 更新 /local/consumer/alias/certmap.conf 中的規則。

6. 使用 dsadm start 指令重新啟動兩部伺服器。

6410741

目錄服務控制中心會將值以字串方式排序。因此，當您在目錄服務控制中心中對數字進行排序時，這些數字的排序方式與字串相同。

對 0、20 與 100 進行向上排序的結果為 0、100、20。對 0、20 與 100 向下排序的結果為 20、100、0。

6415184

無法在目錄服務控制中心中註冊具有多位元組名稱的目錄伺服器實例。

若要解決此問題，請以下列方式配置 Common Agent Container。

# cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

6416407

目錄伺服器無法正確剖析含有退出引號或單一退出逗號的 ACI 目標 DN。下列修改範例會導致語法錯誤。

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

但是，含有多個退出逗號的範例卻能正確進行剖析。

6428448

dpconf 指令在互動模式中使用時會顯示兩次「輸入 "cn=Directory Manager" 密碼:」提示。

6435416

以法文語言環境執行伺服器管理指令時，指令所顯示的某些訊息缺少單引號。

6443229

目錄服務控制中心不允許您管理 PKCS#11 外部安全性裝置或記號。

6446318

在 Windows 系統上使用 SASL 加密時，無法進行 SASL 認證。

6448572

指定國家/地區後，目錄服務控制中心無法產生自行簽署的憑證。

6449828

目錄服務控制中心未正確顯示 userCertificate 二進位值。

6468074

如果設定了 passwordRootdnMayBypassModsCheck 配置屬性，在修改其他使用者的密碼時，該屬性名稱不會反映出伺服器此時允許所有的管理員忽略密碼語法檢查。

6468096

從 zip 發行檔安裝或使用 dsadm 指令安裝前，請勿設定 LD_LIBRARY_PATH。

6469296

允許您複製現有伺服器配置的目錄服務控制中心功能，不允許您複製外掛程式配置。

6469688

在 Windows 系統上，dsconf 指令無法匯入在 LDIF 檔案名稱中含有雙位元組字元的 LDIF。

若要解決此問題，請變更 LDIF 檔案名稱，使其不包含雙位元組字元。

6475244

使用以中文、日文或韓文語言環境執行的瀏覽器時，目錄服務控制中心於建立伺服器實例時所產生的記錄含有垃圾字元。

若要解決此問題，請在要在其中建立新伺服器實例的 Common Agent Container 上執行下列指令。

cocaoadm stop cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" cacaoadm start

6478568

dsadm enable-service 指令與 Sun Cluster 搭配使用時，無法正確運作。

6478586

使用以法文語言環境執行的瀏覽器時，目錄服務控制中心中會出現重複的單引號。

6480753

對 Common Agent Container 註冊 Monitoring Framework 元件時，dsee_deploy 指令停止回應。

6482378

根 DSE 的 supportedSSLCiphers 屬性列出了實際上不受伺服器支援的 NULL 加密密碼。

6482888

至少必須啟動目錄伺服器一次，dsadm enable-service 才能在系統重新開機時重新啟動目錄伺服器。

6483290

目錄服務控制中心與 dsconf 指令皆無法讓您配置目錄伺服器處理無效外掛程式簽名的方式。預設運作方式是驗證外掛程式簽名，但不要求它們的有效性。目錄伺服器會記錄無效簽名的警告。

若要變更伺服器的運作方式，請在 cn=config 上調整 ds-require-valid-plugin-signature 與 ds-verify-valid-plugin-signature 屬性。這兩個屬性的值為 on 或 off。

6485560

目錄服務控制中心不允許您瀏覽配置為應傳回參照給其他尾碼的尾碼。

6488197

在 Windows 系統上完成安裝並建立伺服器實例後，安裝與伺服器實例資料夾的檔案權限允許所有使用者進行存取。

若要解決此問題，請變更安裝與伺服器實例資料夾的權限。

6488262

指定了多項實例時 dsadm autostart 指令失敗，同時該指令由於其中一個實例而失敗。

6488263

dsadm autostart 指令不支援實例檔案名稱中的空格。

6488303

dsmig 指令沒有遷移未在升級與遷移文件中識別的某些配置屬性值。

有關的配置屬性如下：

• nsslapd-db-durable-transaction

• nsslapd-db-replication-batch-val

• nsslapd-disk-low-threshold

• nsslapd-disk-full-threshold

6489776

在全面更新具有重要寫入負載的主要複本後，歷經全面更新的主要複本在某些情況下未正確設定其產生 ID。複寫因此失敗。

6490653

在 Internet Explorer 6 中使用目錄服務控制中心啟用目錄伺服器的參照模式時，確認參照模式視窗中的文字遭截斷。

若要解決此問題，請使用其他瀏覽器，如 Mozilla Web 瀏覽器。

6490762

建立或增加新憑證後必須重新啟動目錄伺服器，變更方可生效。

6491849

升級複本並將伺服器移至新系統後，必須重建複寫協議才能使用新的主機名稱。目錄服務控制中心可讓您刪除現有的複寫協議，但無法讓您建立新的協議。

6492894

在 Red Hat 系統上，dsadm autostart 指令不能始終確保在開機時啟動伺服器實例。

6492939

目錄伺服器未正確處理資料庫名稱、檔案名稱與路徑名稱字串內的中文多位元組字元。

在建立含有中文多位元組字元的目錄伺服器尾碼時若遇到此問題，請指定不含多位元組字元的資料庫名稱。例如，在指令行建立尾碼時，請明確設定 dsconf create-suffix 指令的 --db-name 選項。

$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN

請勿使用尾碼的預設資料庫名稱。

6493957
6493977

在 Windows 系統上，將目錄伺服器作為服務啟用時，請勿使用 dsadm cert-pwd-prompt=on 指令。

6494027

即使已對該用戶執行全面更新，下列複寫錯誤訊息仍始終出現在用戶協議中。

Error sending replication updates. Error Message: Replication error
updating replica: Unable to start a replication session : transient
error - Failed to get supported proto. Error code 907.

Operational Status Error sending updates to server host:port. Error:
Replication error updating replica: Incremental update session abored :
fatal error - Send extended op failed. Error code: 824.

若要清除這些訊息，請停用複寫協議，然後啟用該協議。

6494448

在多主節點複寫配置中停止具有大量負載的多主節點複本時，伺服器可能需要數分鐘才能停止。

6494984

在將讀寫模式設定為唯讀的主伺服器上執行匯入作業後，目錄伺服器無法重新啟動。

6494997

在配置 DSML 時，dsconf 指令未提示適當的 dsSearchBaseDN 設定。

6495004

在 Windows 系統上，目錄伺服器在實例的基底名稱為 ds 時無法啟動。

6495459

您必須配置 DSML，才能使用 Java ES Monitoring Framework 監視 DSML。

6496916

使用以中文語言環境執行的瀏覽器時，目錄服務控制中心中伺服器群組的「更多」連結不正確，因而出現應用程式錯誤頁面。

6497053

從 zip 發行檔進行安裝時，dsee_deploy 指令未提供用以配置 SNMP 與串流配接卡連接埠的選項。

6497894

dsconf help-properties 指令設定為只有在建立實例後才能正常運作。此外，dsml-client-auth-mode 指令值的正確清單應為 client-cert-first | http-basic-only | client-cert-only。

6498537

若要在 Windows XP 上使用目錄服務控制中心，必須停用 Guest 帳號。此外，必須將登錄機碼 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 設定為 0，才能順利進行認證。

6500297
6500301

在 Solaris 與 Red Hat 系統上從 zip 發行檔進行安裝後，目錄伺服器在重新啟動 Common Agent Container (cacao) 後，不會透過 SNMP 顯示。

在 Solaris 系統上，若要解決此項問題，請套用目錄伺服器、目錄代理伺服器與 Directory Server Resource Kit 作業系統需求中所列的所有建議修補程式。

6501893

entrycmp、fildif、insync、mmldif 與 ns-accountstatus 等指令的輸出未本土化。

6501900
6501902
6501904

dsccmon、dsccreg、dsccsetup 與 dsccreg 等指令所顯示的部分輸出未本土化。

6503595

第一次存取目錄服務控制中心並註冊目錄伺服器實例後，警告與異常會寫入 Sun Java Web Console 記錄中。

您可以放心地忽略「無法從指令輸出中擷取 "server-pid" 」警告與異常。異常輸出顯示如下。

StandardWrapperValve[wizardWindowServlet]: Servlet.service() for servlet
 wizardWindowServlet threw exception
java.lang.IllegalStateException: Cannot forward after response has been
 committed

6503558

在非英文語言環境中設定目錄服務控制中心時，有關建立目錄服務控制中心登錄的記錄訊息未完全本土化。部分記錄訊息以設定目錄服務控制中心時所使用的語言環境顯示。

6506020

在 Windows 系統上以 Java ES 安裝程式手動重新開啟下列安裝後，未執行目錄伺服器。但工作管理員中顯示目錄伺服器已在執行中。發生這種情況時，無法從工作管理員重新啟動目錄伺服器。

若要解決此問題，請從 logs 資料夾中移除該程序 ID。

6506043

從 Directory Server 5 2005Q1 進行升級時無法執行 dsmig migrate-data -R -N 指令。

若要解決有關自動遷移資料的問題，請依照「Sun Java System Directory Server Enterprise Edition 6.0 Migration Guide」中的第 3 章「Migrating Directory Server Manually」說明，手動遷移資料。

6507312

在 HP-UX 系統上，使用 NSPR 程式庫的應用程式在使用 gdb 進行調查後損毀並傾印記憶體。將 gdb 附加到執行中的目錄伺服器實例，再使用 gdb quit 指令時，就會發生此問題。

6507803

使用 Internet Explorer 6 存取目錄服務控制中心時，儲存尾碼的索引配置變更會導致出現空值錯誤。作業的進度視窗呈現凍結狀態。

若要解決此問題，請使用其他瀏覽器 (如基於 Mozilla 的瀏覽器) 存取目錄服務控制中心。

6507817

當您透過目錄服務控制中心編輯目錄項目時，若同時使用其他方法變更該項目，則在重新整理顯示畫面後不會顯示變更。

6508042

對於全域密碼策略的「使用者可變更」欄位，目錄服務控制中心顯示錯誤的狀態 pwd-user-change-enabled。

若要解決此問題，請使用 dsconf(1M) 指令讀取 pwd-user-change-enabled 伺服器特性。

$ dsconf get-server-prop -w /tmp/ds.pwd pwd-user-change-enabled pwd-user-change-enabled : off

6510594

從 Directory Server 5.2 升級時，若憑證資料庫包含不信任的憑證，dsmig migrate-config 指令即會失敗。若在建立憑證資料庫後從未使用，也未設定 SSL，就會出現此問題。

若要解決此問題，請執行下列步驟。

1. 移除新的空 Directory Server 6 實例。

2. 重新命名 Directory Server 5.2 實例所使用的 ServerRoot/alias/slapd-serverID-cert8.db 與 ServerRoot/alias/slapd-serverID-key3.db 檔案。

   $ cd ServerRoot/alias $ mv slapd-serverID-cert8.db slapd-serverID-cert8.db.old $ mv slapd-serverID-key3.db slapd-serverID-key3.db.old

3. 再次執行升級與遷移程序。

6513644

在 HP-UX 系統上，啟動及停止目錄伺服器實例時，目錄服務控制中心顯示 null 指標異常的錯誤訊息。此錯誤影響目錄服務控制中心，而不影響目錄伺服器實例。

6519263

遷移目錄伺服器配置時，若使用了 -R 選項，但未複寫現有配置中的所有尾碼，dsmig migrate-config 指令即會失敗。

若要解決此問題，請執行下列步驟。

1. 停止舊的伺服器。

2. 在舊的伺服器實例 (DN 為 cn=changelog5,cn=config 的 dse.ldif 配置檔案項目) 中，以雜湊標記 # 將下列屬性變成註釋。

   #nsslapd-changelogmaxage: ...
   #nsslapd-changelogmaxentries: ...

3. 記錄這些屬性的值。

4. 使用 dsmig migrate-config 指令遷移伺服器配置。

5. 在新的伺服器實例上，針對具有特定配置項目 (DN 格式為 cn=replica,cn=suffix-dn,cn=mapping tree,cn=config) 的所有尾碼執行下列指令。

   $ dsconf set-suffix-prop -p port suffix-dn repl-cl-max-age:old-value

   其中，old-value 表示舊伺服器實例中的 nsslapd-changelogmaxage 值。

   $ dsconf set-suffix-prop -p port suffix-dn repl-cl-max-entry-count:old-value/nbr-suffixes

   其中，old-value 表示舊伺服器實例中的 nsslapd-changelogmaxentries 值。nbr-suffixes 是複寫尾碼的總數。

6523245

目錄伺服器不允許在沒有任何其他密碼策略功能的情況下，單獨啟用密碼品質檢查。

若要解決此問題，請在啟用密碼品質檢查以外，至少再啟用一個密碼策略功能。下列範例啟用了密碼品質檢查，並且同時執行了再次變更密碼前所需的最小時間長度。

$ dsconf set-server-prop pwd-check-enabled:on pwd-min-age:1h