第 3 章 目录服务器中修复的错误和已知问题

本章包含发行目录服务器时可用的特定于产品的重要信息。

本章包含以下部分：

• Directory Server 6.2 中修复的错误

• 目录服务器中的已知问题和限制

Directory Server 6.2 中修复的错误

本部分列出了自上次发行目录服务器以来修复的错误。

6500297

在 Solaris 和 Linux 上从 zip 分发包进行安装后，目录服务器在重新启动 Common Agent Container (cacao) 后未通过 SNMP 显示。

6509701

使用密码更改扩展操作更改 LDAP 密码时，即使 pwdSafeModify 为 off，仍然需要帐户的当前密码。

6520653

在 Windows 2003 系统上，无法在德语语言环境下使用从 zip 分发包通过 dsee_deploy 安装的软件。

6540157

在运行 db2ldif 或 ldif2db 后，将创建新的更改日志，但不会删除旧更改日志。

6558119

启用复制后，ns-slapd 崩溃。

6561746

将 Directory Server 5.1 主服务器迁移到 6.x 时显示错误。

6561772

在应用 125310-02 和 125278-02 修补程序后，未升级在 lockhart 中装入的某些 jar 文件。

6564778

dsconf create-plugin -Y pwdstoragescheme 命令添加的插件条目具有错误的 DN。

目录服务器中的已知问题和限制

本部分列出了发行时的已知问题和限制。

目录服务器限制

本部分列出了产品限制。

不要手动更改文件权限。

在某些情况下，对已安装的 Directory Server Enterprise Edition 产品文件的权限进行更改可能会导致软件无法正常运行。只能按照产品文档中的说明或 Sun 支持人员的指导来更改文件权限。

要解除此限制，请以具有适当用户和组权限的用户身份来安装产品和创建服务器实例。

不要复制 cn=changelog 后缀。

虽然可以为 cn=changelog 后缀设置复制，但这样做可能会影响复制操作。不要复制 cn=changelog 后缀。cn=changelog 后缀是由追溯更改日志插件创建的。

在 Sun Cluster 上进行故障转移后，数据库缓存可能会过时。

在 Sun Cluster 上运行目录服务器时，如果将 nsslapd-db-home-directory 设置为使用非共享目录，则多个实例将共享数据库缓存文件。进行故障转移后，新节点上的目录服务器实例将使用可能已过时的数据库缓存文件。

要解除此限制，可以将 nsslapd-db-home-directory 设置为使用共享目录，或者在目录服务器启动时系统地删除 nsslapd-db-home-directory 下的文件。

LD_LIBRARY_PATH 包含 /usr/lib 时，将装入错误的 SASL 库。

LD_LIBRARY_PATH 包含 /usr/lib 时，将使用错误的 SASL 库，这将导致安装后 dsadm 命令失败。

使用 LDAP 替换操作更改 cn=config 属性。

对 cn=config 进行的 LDAP 修改操作只能使用替换子操作。任何添加或删除属性的尝试都将被拒绝，并产生错误 53：DSA 无法执行。虽然在 Directory Server 5 中可以添加或删除属性或属性值，但更新会在未经任何值验证的情况下应用于 dse.ldif 文件，并且 DSA 内部状态在停止并启动 DSA 之后才会更新。

---

注 –

cn=config 配置接口已过时。可能的情况下请使用 dsconf 命令代替。

---

要解除此限制，可以使用添加或删除子操作代替 LDAP 修改替换子操作。这样不会损失任何功能。而且，DSA 配置的状态在更改后将更容易预测。

在 Windows 系统上，目录服务器在默认情况下不允许 "Start TLS"。

此问题只影响 Windows 系统上的服务器实例。此问题由使用 "Start TLS" 时 Windows 系统性能不佳所导致。

要解决此问题，请考虑在 dsconf 命令中使用选项 -P，以便通过 SSL 端口直接连接。另外，如果网络连接已受到保护，还可以考虑在 dsconf 命令中使用选项 -e。使用此选项，可以在不请求安全连接的情况下连接到标准端口。

复制更新矢量可能会引用已停用的服务器。

从复制拓扑中删除复制的目录服务器实例后，复制更新矢量可以继续保留对实例的引用。因此，可能会出现对不再存在的实例的引用。

在启动时 Common Agent Container 未启动。

要在从本地软件包安装时解决此问题，请以超级用户身份使用 cacaoadm enable 命令。

max-thread-per-connection-count 不适用于 Windows 系统。

目录服务器配置属性 max-thread-per-connection-count 不适用于 Windows 系统。

Microsoft Windows 错误导致服务启动类型显示为已禁用。

Microsoft Windows 2000 Standard Edition 错误导致从 Microsoft 管理控制台删除目录服务器服务后，该服务显示为已禁用。

控制台不允许管理员登录 Windows XP

控制台不允许管理员登录到运行 Windows XP 的服务器。

要解决此问题，必须禁用 Guest 帐户，并且必须将注册表主键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 设置为 0。

Directory Server 6.2 中的已知问题

本部分列出了在发行 Directory Server 6.2 时发现的已知问题。

2113177

如果服务器在执行联机导出、备份、恢复或索引创建时停止，目录服务器会出现崩溃现象。

2133169

从 LDIF 导入条目时，目录服务器不生成 createTimeStamp 和 modifyTimeStamp 属性。

对 LDIF 导入进行了速度优化。导入过程不会生成这些属性。要解除此限制，请添加（而非导入）条目。或者对 LDIF 进行预处理，以便在导入之前添加属性。

4979319

某些目录服务器错误消息引用了数据库错误指南的内容，但此指南并不存在。如果您无法理解某个严重错误消息的含义，并且此错误未记入文档，请与 Sun 支持人员联系。

6358392

删除软件时，dsee_deploy uninstall 命令不会停止或删除现有服务器实例。

要解除此限制，请按照《Sun Java System Directory Server Enterprise Edition 6.2 Installation Guide》中的说明执行操作。

6366948

即使已在提供方副本上清除了 pwdFailureTime 属性值，目录服务器仍在使用方副本上保留这些值。这些值在复制了 userPassword 的修改后仍会保留。

6401484

在目标后缀上使用 SSL 客户端验证时，dsconf accord-repl-agmt 命令无法使复制协议的验证属性保持一致。

要解决此问题，请按照以下步骤将提供方证书存储在使用方的配置中。下面所显示的示例命令基于同一主机上的两个实例。

1. 将证书导出到文件。

   以下示例说明如何对 /local/supplier 和 /local/consumer 中的服务器执行导出。

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. 交换客户端和提供方证书。

   以下示例说明如何对 /local/supplier 和 /local/consumer 中的服务器执行交换。

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. 在使用方上添加 SSL 客户端条目，包括 usercertificate;binary 属性中的 supplierCert 证书，以及相应的 subjectDN。

4. 在使用方上添加复制管理员 DN。

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. 更新 /local/consumer/alias/certmap.conf 中的规则。

6. 使用 dsadm start 命令重新启动两台服务器。

6412131

在 dsadm show-cert instance-path valid-multibyte-cert-name 命令的输出中，包含多字节字符的证书名称显示为圆点。

6410741

目录服务控制中心将值作为字符串进行排序。因此，在目录服务控制中心中对数字进行排序时，数字将被视为字符串。

对 0、20 和 100 进行升序排序的结果为 0、100、20。对 0、20 和 100 进行降序排序的结果为 20、100、0。

6415184

无法在 DSCC 中创建路径包含多字节字符的目录代理服务器实例以启动或执行其他常规任务。

可通过用于创建该实例的字符集来解决其中的某些问题。请使用以下命令设置字符集：

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

请仅在实例路径中使用 ASCII 字符以避免出现这些问题。

6416407

目录服务器不能正确解析包含转义引号或单个转义逗号的 ACI 目标 DN。 以下示例修改会导致语法错误。

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

但是，对于具有多个转义逗号的情况，则可以正确解析。

6428448

在交互模式下使用 dpconf 命令时，该命令显示两次“输入 "cn=Directory Manager" 密码:”提示。

6443229

目录服务控制中心不允许管理 PKCS#11 外部安全设备或令牌。

6446318

在 Windows 上，SASL 验证由于以下两个原因失败：

• 使用了 SASL 加密。

  要解决由 SASL 加密引起的问题，请停止服务器，编辑 dse.ldif，然后将 SASL 重置为以下内容。

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• 安装是使用本地软件包完成的。

  要解决由本地软件包安装引起的问题，请将 SASL_PATH 设置为 install-dir\share\lib。

6448572

指定国家/地区后，目录服务控制中心无法生成自签名的证书。

6449828

目录服务控制中心未能正确显示 userCertificate 二进制值。

6468074

设置配置属性 passwordRootdnMayBypassModsCheck 时，该属性的名称未能反映出服务器现在允许任何管理员在修改其他用户的密码时避开密码语法检查。

6468096

从 zip 分发包安装或使用 dsadm 命令安装之前，不要设置 LD_LIBRARY_PATH。

6469154

在 Windows 上，dsadm 和 dpadm 命令的输出以及帮助消息没有使用简体中文和繁体中文进行本地化。

6469296

允许复制现有服务器配置的目录服务控制中心功能不允许复制插件配置。

6469688

在 Windows 系统上，dsconf 命令无法导入文件名中含有双字节字符的 LDIF。

要解决此问题，请更改 LDIF 文件名，使其不包含双字节字符。

6478568

dsadm enable-service 命令与 Sun Cluster 结合使用时无法正常工作。

6480753

dsee_deploy 命令在将 Monitoring Framework 组件注册到 Common Agent Container 时挂起。

6482378

根 DES 上的 supportedSSLCiphers 属性列出了服务器实际不支持的 NULL 加密密码。

6482888

必须至少启动目录服务器一次，否则在系统重新启动时，dsadm enable-service 无法重新启动目录服务器。

6483290

目录服务控制中心和 dsconf 命令都不允许配置目录服务器处理无效插件签名的方式。默认行为是验证插件签名，但不要求签名有效。目录服务器会记录有关无效签名的警告。

要更改服务器行为，请调整 cn=config 中的 ds-require-valid-plugin-signature 和 ds-verify-valid-plugin-signature 属性。这两个属性的值同为 on 或 off。

6485560

目录服务控制中心不允许浏览配置为向其他后缀返回引用的后缀。

6488197

在 Windows 系统上完成安装并创建服务器实例后，安装和服务器实例文件夹的文件权限允许所有用户进行访问。

要解决此问题，请更改安装和服务器实例文件夹上的权限。

6490653

在 Internet Explorer 6 中使用目录服务控制中心为目录服务器启用引用模式时，确认引用模式窗口中的文本被截断。

要解决此问题，请使用其他浏览器（如 Mozilla Web 浏览器）。

6490762

创建或添加新证书后，必须重新启动目录服务器才能使更改生效。

6491849

升级副本并将服务器移动到新系统之后，必须重新创建复制协议才能使用新主机名。目录服务控制中心允许删除现有的复制协议，但不允许创建新协议。

6492894

在 Red Hat 系统上，dsadm autostart 命令不能始终确保在启动时启动服务器实例。

6494997

配置 DSML 时，dsconf 命令未提示适当的 dsSearchBaseDN 设置。

6495004

在 Windows 系统上，当实例的基名为 ds 时目录服务器无法启动。

6497053

从 zip 分发包进行安装时，dsee_deploy 命令未提供用于配置 SNMP 和流适配器端口的选项。

要解决此问题，

1. 使用 Web 控制台或 dpconf 启用监视插件。

2. 使用 cacaoadm set-param 更改 snmp-adaptor-port、snmp-adaptor-trap-port 和 commandstream-adaptor-port。

6497894

dsconf help-properties 命令被设置为仅在创建实例后才正常工作。此外，dsml-client-auth-mode 命令值的正确列表应该为 client-cert-first | http-basic-only | client-cert-only。

6498537

要在 Windows XP 系统上使用目录服务控制中心，必须禁用 Guest 帐户。另外，要成功通过验证，必须将注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 设置为 0。

6500936

在本地修补程序交付中，用于选择过滤访问日志日期的小型日历未使用简体中文、繁体中文和韩文正确本地化。

6501893

schema_push、repldisc、pwdhash、ns-inactivate、ns-activate、ns-accountstatus、mmldif、insync、fildif、entrycmp、dsrepair、dsee_deploy、dsadm show-cert、dsadm repack 和 ldif 命令的输出未本地化。

6501900
6501902
6501904

dsccmon、dsccreg、dsccsetup 和 dsccreg 命令显示的某些输出未本地化。

6503546

更改系统语言环境并启动 DSCC 后，未使用选定的语言环境显示弹出式窗口消息。

6503558

在非英语语言环境下设置目录服务控制中心时，有关创建目录服务控制中心注册表的日志消息未完全本地化。某些日志消息以设置目录服务控制中心时所使用的语言环境显示。

6504180

在 Solaris 10 上的英语和日语语言环境中，DN 包含多字节字符的实例的密码验证失败。

6520646

使用 Internet Explorer 时，单击“浏览 DSCC 联机帮助”后未显示联机帮助。

6527999

目录服务器插件 API 包含 slapi_value_init()、slapi_value_init_string() 和 slapi_value_init_berval() 函数。

这些函数均需要 "done" 函数以释放内部元素。但是，公共 API 缺少 slapi_value_done() 函数。

6533281

由于某个已知问题，在 Windows 安装上没有按文档所述始终计算 nsslapd-idletimeout。

在 Unix（包括 Solaris）上，当打开新连接以及收到新数据时，将会计算 nsslapd-idletimeout，如文档中所述。

在 Windows 上，对于安全连接或 ds-start-tls-enabled 为 true 时，将以相同方式计算 nsslapd-idletimeout。但是，对于非安全连接并且 ds-start-tls-enabled 为 false 时，仅当打开新连接时才会计算 nsslapd-idletimeout。

6536770

DSCC 可能不会显示长 ACI，这取决于 Internet 服务提供者所设置的限制。

6538726

在 Linux 上，如果启动目录服务器实例的语言环境与创建该实例的语言环境不同，则多字节字符无法正确显示。

6542857

在 Solaris 10 上使用 Service Management Facility (SMF) 启用服务器实例时，重新引导系统时实例可能无法启动。

要解决此问题，请将标记有 + 的以下行添加到 /opt/SUNWdsee/ds6/install/tmpl_smf.manifest 中。

... restart_on="none" type="service"> <service_fmri value="svc:/network/initial:default"/> </dependency> + <dependency name="nameservice" grouping="require_all" \ + restart_on="none" type="service"> + <service_fmri value="svc:/milestone/name-services"/> + </dependency> <exec_method type="method" name="start" exec="%%%INSTALL_PATH%%%/bin/dsadm start --exec %{sunds/path}"...

6547923

系统重新启动时，Directory Server Enterprise Edition Windows 服务无法启动多个服务器实例。

6550543

将 DSCC 与 Tomcat 5.5 和 JDK 1.6 组合一起使用时，可能会出现错误。

可以改用 JDK 1.5。

6551672

与 Solaris 10 捆绑在一起的 Sun Java System Application Server 无法为经过验证的机制创建 SASL 客户端连接，并且无法与 Common Agent Container 进行通信。

要解决此问题，请编辑 appserver-install-path/appserver/config/asenv.conf 文件以更改应用服务器使用的 JVM，然后将 AS_JAVA 条目替换为 AS_JAVA="/usr/java"。重新启动您的应用服务器域。

6551685

当您重新引导系统时，dsadm autostart 可能导致本地 LDAP 验证失败。

要解决此问题，请反转重新引导脚本的顺序。默认顺序为 /etc/rc2.d/S71ldap.client 和 /etc/rc2.d/S72dsee_directory。

6554777

如果通过在应用服务器上部署 Web 归档 (Web Archive, WAR) 文件来配置 DSCC，则 DSCC 版本窗口可能会显示 html 源代码。要解决此问题，请在 domain-path/domain-name/config/default-web.xml 中添加以下条目。

<mime-mapping> <extension>shtml</extension> <mime-type>text/html</mime-type> </mime-mapping>

6555192

在 Linux 上的非英语语言环境中，DSCC 进度窗口中显示的本地化服务器消息可能会将国际字符显示为乱码。

6557480

在 Solaris 9 和 Windows 上，从使用 Web 归档文件 (WAR) 配置的控制台中访问联机帮助时，它将显示一个错误。

6565893

idsktune 命令不支持 SuSE Enterprise Linux。

6571672

如果无法在系统中进行解压缩，dsee_deploy 不会安装任何产品。

6573439

在实例的“更多视图选项”中，“访问日志”、“错误日志”和“审计日志”选项卡下面显示的日期没有进行本地化。

6573440

如果在目录服务器中将唯一性插件配置为在多个属性间使用，则在目录服务器启动过程中将显示错误。

6577314

如果在没有停止服务器实例的情况下应用 Directory Server Enterprise Edition 6.2 修补程序，dsadm info 和 dsadm stop 将在服务器运行时显示服务器已关闭。

6581469

在某些韩文和简体中文消息中没有翻译字符串 err=。

6582831

在 Solaris 上，重新启动系统后作为服务注册的实例无法启动。

要解决此问题，可以运行以下命令：

# /usr/sbin/svccfg svc:> select application/sun/ds svc:/application/sun/ds> delpropvalue start/timeout_seconds 60 svc:/application/sun/ds> delpropvalue stop/timeout_seconds 60 svc:/application/sun/ds> addpropvalue start/timeout_seconds 600 svc:/application/sun/ds> addpropvalue stop/timeout_seconds 600 svc:/application/sun/ds> quit

6586231

在法语 dsconf 帮助中，有时错误地将目录服务器翻译为 répertoire，而不是 serveur d'annuaire。

6588319

在使用 Tomcat 服务器配置的 DSCC 中，“帮助”和“版本”弹出式窗口的标题将多字节字符串显示为乱码。

6589603

如果将配置属性 pwd-max-history-count 或密码策略属性 pwdInHistory 设置为允许的最大值 24，目录服务器实例可能会崩溃。

要解决此问题，pwd-max-history-count 或 pwdInHistory 的值不应超过 23。

6589942

在法语、德语和西班牙语中，在 dsconf enable-repl -? 命令语法中翻译了 ROLE，但在后面的 ROLE = master 字符串中没有翻译。

6589949

在德语和西班牙语的命令行界面帮助中，没有翻译字符串 INSTANCE_PATH。

6590558

在 Linux 上，如果在 /etc/security/limits.conf 文件中指定了最大文件数，则在系统重新启动时将无法启动目录服务器实例。

要解决此问题，请在 etc/init.d/dsee_directory 文件中添加以下内容。

# ulimit -Hn 65536 # ulimit -Sn 65536

6592543

在法语语言环境中，提示确认停止或取消注册服务器的弹出式窗口显示双撇号。