第 3 章 目錄伺服器中已修正的錯誤與已知問題

本章包含目錄伺服器發行時的重要產品特定資訊。

本章包含以下各節：

• 在 Directory Server 6.2 中修正的錯誤

• 目錄伺服器中的已知問題與限制

在 Directory Server 6.2 中修正的錯誤

本節列出自目錄伺服器上一個版本以來已修正的錯誤。

6500297

目錄伺服器在 Solaris 和 Linux 上由 Zip 發行檔進行安裝之後，無法透過 SNMP 在重新啟動 Common Agent Container (cacao) 之後顯示。

6509701

在透過使用密碼變更延伸作業來變更 LDAP 密碼時，即使 pwdSafeModify 為 off狀態，仍需要帳號的現有密碼。

6520653

在 Windows 2003 系統上，無法在德文語言環境中使用透過 dsee_deploy 從 Zip 發行檔所安裝的軟體。

6540157

執行 db2ldif 或 ldif2db 之後會建立新的變更記錄，但不會移除舊的變更記錄。

6558119

啟用複寫時，ns-slapd 當機。

6561746

將 Directory Server 5.1 主伺服器遷移至 6.x 時顯示錯誤。

6561772

載入 lockhart 的部分 JAR 檔案在套用 125310-02 和 125278-02 修補程式之後並未升級。

6564778

dsconf create-plugin -Y pwdstoragescheme 指令所增加的外掛程式項目之 DN 不正確

目錄伺服器中的已知問題與限制

本節列出發行時已知的問題與限制。

目錄伺服器限制

本節列出產品限制。

請勿手動變更檔案權限。

某些情況下，變更已安裝的 Directory Server Enterprise Edition 產品檔案之檔案權限，可能會使得軟體無法正常運作。請僅依照產品文件或 Sun 技術支援的指示變更檔案權限。

若要解決此限制，請以具有適當使用者與群組權限的使用者身份安裝產品，並建立伺服器實例。

請勿複寫 cn=changelog 尾碼。

雖然您可以設定 cn=changelog 尾碼的複寫，但進行此動作有可能會對複寫作業有所影響。請勿複寫 cn=changelog 尾碼。cn=changelog 尾碼由回溯變更記錄外掛程式所建立。

於 Sun Cluster 上進行容錯移轉後，資料庫快取可能會過時。

在 Sun Cluster 上執行目錄伺服器並且設定 nsslapd-db-home-directory 使用非共用的目錄時，會有多個實例共用資料庫快取檔案。進行容錯移轉後，新節點上的目錄伺服器實例會使用可能已過時的資料庫快取檔案。

若要解決此限制，請使用共用的 nsslapd-db-home-directory 目錄，或在目錄伺服器啟動時有系統地移除 nsslapd-db-home-directory 下的檔案。

當 LD_LIBRARY_PATH 含有 /usr/lib 時，會載入錯誤的 SASL 程式庫。

當 LD_LIBRARY_PATH 含有 /usr/lib 時，會使用錯誤的 SASL 程式庫，進而導致 dsadm 指令在安裝後無法執行。

使用 LDAP 取代作業，變更 cn=config 屬性。

cn=config 的 LDAP 修改作業只能使用取代子作業。任何增加或刪除屬性的作業都會遭到拒絕，並產生錯誤 53：DSA 無法執行。雖然在 Directory Server 5 中可以增加或刪除屬性或屬性值，但更新在未經任何值的驗證情況下即已套用至 dse.ldif 檔案，且 DSA 內部狀態直到 DSA 停止並重新啟動後才進行了更新。

---

備註 –

cn=config 配置介面已停用。可能的話，請使用 dsconf 指令。

---

若要解決此限制，請以 LDAP 修改取代子作業來替代增加或刪除子作業。功能並不會減損。再者，DSA 配置的狀態在變更後將更容易預測。

在 Windows 系統上，目錄伺服器依預設不允許「Start TLS」。

只有 Windows 系統上的伺服器實例會受此問題影響。此問題導因於 Windows 系統的效能在使用「Start TLS」時不佳所致。

若要解決此問題，請考量使用含有 -P 選項的 dsconf 指令，直接透過 SSL 連接埠進行連線。若您的網路連線已受到保護，也可以考量使用含有 -e 選項的 dsconf 指令 。此選項可讓您連線至標準連接埠，而不需請求安全連線。

複寫更新向量可參照先前的伺服器。

從複寫拓樸中移除複寫的目錄伺服器實例後，複寫更新向量可能會繼續保有對該實例的參照。因此，可能會發現參照了已不存在的實例。

Common Agent Container 未於開機時啟動。

若要在從本機套裝軟體進行安裝時解決此問題，請以 root 的身份使用 cacaoadm enable 指令。

max-thread-per-connection-count 不適用於 Windows 系統。

目錄伺服器配置特性 max-thread-per-connection-count 不適用於 Windows 系統。

Microsoft Windows 的錯誤致使服務啟動類型顯示為停用。

Microsoft Windows 2000 Standard Edition 錯誤導致目錄伺服器服務在從 Microsoft Management Console 中刪除後顯示為停用狀態。

主控台不允許管理員登入到 Windows XP

主控台不允許管理員登入伺服器並執行 Windows XP。

若要解決此問題，即必須停用 guest 帳號和登錄機碼 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 必須設定為 0。

6.2 中已知的目錄伺服器問題

本節列出 Directory Server 6.2 版所發現的已知問題。

2113177

伺服器在執行線上匯出、備份、復原或建立索引時若停止，目錄伺服器會出現當機的現象。

2133169

從 LDIF 匯入項目時，目錄伺服器未產生 createTimeStamp 與 modifyTimeStamp 屬性。

LDIF 匯入在速度方面經過最佳化。匯入程序不會產生這些屬性。若要解決此限制，請對項目進行增加作業而不是匯入作業。或是在匯入之前預先處理 LDIF 以增加屬性。

4979319

有些目錄伺服器錯誤訊息會參照資料庫錯誤指南，但此指南並不存在。若嚴重錯誤的意義並未載明而您又無法瞭解時，請聯絡 Sun 支援。

6358392

移除軟體時，dsee_deploy uninstall 指令不會停止或刪除現有的伺服器實例。

若要解決此限制，請遵循「Sun Java System Directory Server Enterprise Edition 6.2 Installation Guide」中的指示進行。

6366948

即使在供應者複本上清除屬性值後，目錄伺服器仍保留用戶複本上的 pwdFailureTime 值。這些值在複寫 userPassword 的修改後仍會保留。

6401484

若在目標尾碼上使用 SSL 用戶端認證，dsconf accord-repl-agmt 指令即無法使複寫協議的認證特性維持一致。

若要解決此問題，請依照下列步驟將供應者憑證儲存於用戶的配置中。所顯示的範例指令係以同一部主機上的兩個實例為基礎。

1. 將憑證匯出為檔案。

   下列範例說明如何就伺服器的 /local/supplier 與 /local/consumer 執行匯出。

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt /local/consumer defaultCert

2. 交換用戶端與供應者憑證。

   下列範例說明如何就伺服器的 /local/supplier 與 /local/consumer 執行交換。

   $ dsadm add-cert --ca /local/consumer supplierCert /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert /tmp/consumer-cert.txt

3. 在用戶上增加 SSL 用戶端項目，包括 usercertificate;binary 屬性上的 supplierCert 憑證，以及適當的 subjectDN。

4. 在用戶上增加複寫管理員 DN。

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. 更新 /local/consumer/alias/certmap.conf 中的規則。

6. 使用 dsadm start 指令重新啟動兩部伺服器。

6412131

包含多位元組字元的憑證名稱在 dsadm show-cert instance-path valid-multibyte-cert-name 指令的輸出中顯示為點。

6410741

目錄服務控制中心會將值以字串方式排序。因此，當您在目錄服務控制中心中對數字進行排序時，這些數字的排序方式與字串相同。

對 0、20 與 100 進行向上排序的結果為 0、100、20。對 0、20 與 100 向下排序的結果為 20、100、0。

6415184

在其路徑中包含多位元組字元的目錄伺服器實例可能無法在 DSCC 中建立，也無法啟動或執行其他一般作業。

這些問題的其中一部分可透過建立實例所使用的字元集解決。使用下列指令設定字元集：

# cacaoadm list-params | grep java-flags java-flags=-Xms4M -Xmx64M # cacaoadm stop # cacaoadm set-param java-flags="-Xms4M -Xmx64M -Dfile.encoding=utf-8" # cacaoadm start

在實例路徑中僅使用 ASCII 字元可避免這些問題。

6416407

目錄伺服器無法正確剖析含有退出引號或單一退出逗號的 ACI 目標 DN。下列修改範例會導致語法錯誤。

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

但是，含有多個退出逗號的範例卻能正確進行剖析。

6428448

dpconf 指令在互動模式中使用時會顯示兩次「輸入 "cn=Directory Manager" 密碼:」提示。

6443229

目錄服務控制中心不允許您管理 PKCS#11 外部安全性裝置或記號。

6446318

在 Windows 上，SASL 認證因為下列兩個原因而失敗：

• 使用 SASL 加密。

  若要解決 SASL 加密所造成的問題，請停止伺服器並編輯 dse.ldif，然後如下所示重設 SASL。

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• 安裝作業透過使用本機套裝軟體完成。

  若要解決本機套裝軟體安裝所造成的問題，請將 SASL_PATH 設定為 install-dir\share\lib。

6448572

指定國家/地區後，目錄服務控制中心無法產生自行簽署的憑證。

6449828

目錄服務控制中心未正確顯示 userCertificate 二進位值。

6468074

如果設定了 passwordRootdnMayBypassModsCheck 配置屬性，在修改其他使用者的密碼時，該屬性名稱不會反映出伺服器此時允許所有的管理員忽略密碼語法檢查。

6468096

從 zip 發行檔安裝或使用 dsadm 指令安裝前，請勿設定 LD_LIBRARY_PATH。

6469154

在 Windows 上，dsadm 和 dpadm 指令的輸出以及說明訊息並未本土化為簡體中文和繁體中文。

6469296

允許您複製現有伺服器配置的目錄服務控制中心功能，不允許您複製外掛程式配置。

6469688

在 Windows 系統上，dsconf 指令無法匯入在 LDIF 檔案名稱中含有雙位元組字元的 LDIF。

若要解決此問題，請變更 LDIF 檔案名稱，使其不包含雙位元組字元。

6478568

dsadm enable-service 指令與 Sun Cluster 搭配使用時，無法正確運作。

6480753

對 Common Agent Container 註冊 Monitoring Framework 元件時，dsee_deploy 指令停止回應。

6482378

根 DSE 的 supportedSSLCiphers 屬性列出了實際上不受伺服器支援的 NULL 加密密碼。

6482888

至少必須啟動目錄伺服器一次，dsadm enable-service 才能在系統重新開機時重新啟動目錄伺服器。

6483290

目錄服務控制中心與 dsconf 指令皆無法讓您配置目錄伺服器處理無效外掛程式簽名的方式。預設運作方式是驗證外掛程式簽名，但不要求它們的有效性。目錄伺服器會記錄無效簽名的警告。

若要變更伺服器的運作方式，請在 cn=config 上調整 ds-require-valid-plugin-signature 與 ds-verify-valid-plugin-signature 屬性。這兩個屬性的值為 on 或 off。

6485560

目錄服務控制中心不允許您瀏覽配置為應傳回參照給其他尾碼的尾碼。

6488197

在 Windows 系統上完成安裝並建立伺服器實例後，安裝與伺服器實例資料夾的檔案權限允許所有使用者進行存取。

若要解決此問題，請變更安裝與伺服器實例資料夾的權限。

6490653

在 Internet Explorer 6 中使用目錄服務控制中心啟用目錄伺服器的參照模式時，確認參照模式視窗中的文字遭截斷。

若要解決此問題，請使用其他瀏覽器，如 Mozilla Web 瀏覽器。

6490762

建立或增加新憑證後必須重新啟動目錄伺服器，變更方可生效。

6491849

升級複本並將伺服器移至新系統後，必須重建複寫協議才能使用新的主機名稱。目錄服務控制中心可讓您刪除現有的複寫協議，但無法讓您建立新的協議。

6492894

在 Red Hat 系統上，dsadm autostart 指令不能始終確保在開機時啟動伺服器實例。

6494997

在配置 DSML 時，dsconf 指令未提示適當的 dsSearchBaseDN 設定。

6495004

在 Windows 系統上，目錄伺服器在實例的基底名稱為 ds 時無法啟動。

6497053

從 zip 發行檔進行安裝時，dsee_deploy 指令未提供用以配置 SNMP 與串流配接卡連接埠的選項。

若要解決此問題，

1. 使用 Web Console 或 dpconf 啟用監視外掛程式。

2. 使用 cacaoadm set-param 變更 snmp-adaptor-port、snmp-adaptor-trap-port 以及 commandstream-adaptor-port。

6497894

dsconf help-properties 指令設定為只有在建立實例後才能正常運作。此外，dsml-client-auth-mode 指令值的正確清單應為 client-cert-first | http-basic-only | client-cert-only。

6498537

若要在 Windows XP 上使用目錄服務控制中心，必須停用 Guest 帳號。此外，必須將登錄機碼 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 設定為 0，才能順利進行認證。

6500936

在本機修補程式提供中，用來挑選篩選存取記錄的小型行事曆並沒有正確達到繁體中文本土化。

6501893

schema_push、repldisc、pwdhash、ns-inactivate、ns-activate、ns-accountstatus、mmldif、insync、fildif、entrycmp、dsrepair、dsee_deploy、dsadm show-cert、dsadm repack 以及 ldif 指令的輸出尚未本土化。

6501900
6501902
6501904

dsccmon、dsccreg、dsccsetup 與 dsccreg 等指令所顯示的部分輸出未本土化。

6503546

變更系統的語言環境和啟動 DSCC 並不會顯示您所選取語言環境中的快顯視窗訊息。

6503558

在非英文語言環境中設定目錄服務控制中心時，有關建立目錄服務控制中心登錄的記錄訊息未完全本土化。部分記錄訊息以設定目錄服務控制中心時所使用的語言環境顯示。

6504180

在 Solaris 10 上，如果實例的 DN 含多位元組字元，則在英文及日文語言環境上對該實例的密碼驗證會失敗。

6520646

當您在使用 Internet Explorer 時，按一下瀏覽 DSCC 線上說明並不會顯示線上說明。

6527999

目錄伺服器外掛程式 API 包含 slapi_value_init()()、slapi_value_init_string()() 和 slapi_value_init_berval()() 函數。

這些函數皆需要「done」函數才能釋放內部元素。但是，公用 API 遺失了 slapi_value_done()() 函數。

6533281

在 Windows 安裝上，因為某個已知問題，nsslapd-idletimeout 不會在所有條件下都如說明文件中所述方式進行計算。

如文件中所述，在 Unix 上 (包含 Solaris)，nsslapd-idletimeout 會在開啟新連線及收到新資料時計算。

在 Windows 上，若是安全連線或 ds-start-tls-enabled 為 true，便會以相同方式計算 nsslapd-idletimeout。但是，若是非安全連線且 ds-start-tls-enabled 為 false，則只會在開啟新連線時計算 nsslapd-idletimeout。

6536770

根據網際網路服務提供者所設定的限制，DSCC 可能不會顯示長 ACI。

6538726

在 Linux 上，如果目錄伺服器實例在不同於一開始建立實例的語言環境啟動，則多位元字元不會正確顯示。

6542857

當您在 Solaris 10 上使用服務管理設備 (SMF) 來啟用伺服器實例，則您的系統重新開機時，實例可能不會啟動。

若要解決此問題，請將以下標記了 + 的行增加到 /opt/SUNWdsee/ds6/install/tmpl_smf.manifest。

... restart_on="none" type="service"> <service_fmri value="svc:/network/initial:default"/> </dependency> + <dependency name="nameservice" grouping="require_all" \ + restart_on="none" type="service"> + <service_fmri value="svc:/milestone/name-services"/> + </dependency> <exec_method type="method" name="start" exec="%%%INSTALL_PATH%%%/bin/dsadm start --exec %{sunds/path}"...

6547923

在系統重新啟動時，Directory Server Enterprise Edition Windows 服務無法啟動一個以上的伺服器實例。

6550543

搭配 Tomcat 5.5 與 JDK 1.6 共同使用 DSCC 時，可能會發生錯誤。

解決方法是改用 JDK 1.5。

6551672

Solaris 10 隨附的 Sun Java System Application Server 無法建立用於認證機制的 SASL 用戶端連線，並且不能與 Common Agent Container 進行通訊。

解決方法是變更應用程式伺服器所用的 JVM，方法是編輯 appserver-install-path/appserver/config/asenv.conf 檔案，以 AS_JAVA="/usr/java" 取代 AS_JAVA 項目。請重新啟動您的應用程式伺服器網域。

6551685

當您的系統重新開機時，dsadm autostart 會使本機 LDAP 認證失敗。

若要解決此問題，請轉換重新開機程序檔的順序。預設的順序為 /etc/rc2.d/S71ldap.client 和 /etc/rc2.d/S72dsee_directory。

6554777

DSCC 若是藉由以應用程式伺服器部署網頁封存檔 (WAR) 進行配置，其 [版本] 視窗可能會顯示 html 原始碼。若要解決此問題，請在 domain-path/domain-name/config/default-web.xml 中增加以下項目。

<mime-mapping> <extension>shtml</extension> <mime-type>text/html</mime-type> </mime-mapping>

6555192

在 Linux 上，DSCC 進度視窗中所顯示的本土化伺服器訊息，可能會在非英文語言環境中將國際字元顯示為亂碼。

6557480

在 Solaris 9 和 Windows 上，從使用網頁封存檔 (WAR) 配置的主控台存取線上說明時，會顯示錯誤。

6565893

idsktune 指令不支援 SuSE Enterprise Linux。

6571672

如果系統無法解壓縮，dsee_deploy 將不會安裝任何產品。

6573439

在實例 [更多的檢視選項] 中，[存取記錄]、[錯誤記錄] 和 [稽核記錄] 標籤下顯示的日期未本土化。

6573440

如果您在目錄伺服器中將專用的外掛程式配置為在多個屬性中使用，目錄伺服器啟動期間會顯示錯誤。

6577314

如果未停止伺服器實例便套用 Directory Server Enterprise Edition 6.2 修補程式，dsadm info 和 dsadm stop 會在伺服器執行期間顯示伺服器已經關閉。

6581469

字串 err= 在部分韓文和簡體中文訊息中未翻譯。

6582831

在 Solaris 上，註冊為服務的實例在重新啟動系統之後，可能不會啟動。

此問題的解決方法是執行下列指令：

# /usr/sbin/svccfg svc:> select application/sun/ds svc:/application/sun/ds> delpropvalue start/timeout_seconds 60 svc:/application/sun/ds> delpropvalue stop/timeout_seconds 60 svc:/application/sun/ds> addpropvalue start/timeout_seconds 600 svc:/application/sun/ds> addpropvalue stop/timeout_seconds 600 svc:/application/sun/ds> quit

6586231

在 dsconf 說明中，目錄伺服器的法文翻譯有時會誤譯為 répertoire，而不是 serveur d'annuaire。

6588319

在使用 Tomcat 伺服器配置的 DSCC 中，[說明] 與 [版本] 快顯式視窗的標題會將多位元組字串顯示為亂碼。

6589603

若將配置特性 pwd-max-history-count 或密碼策略屬性 pwdInHistory 的值設定為允許的最大值 24，則目錄伺服器實例可能會當機。

解決方法是確保 pwd-max-history-count 或 pwdInHistory 的值不會超出 23。

6589942

在法文、德文和西班牙文中，ROLE 在 dsconf enable-repl -? 指令的語法中有翻譯，但在之後的 ROLE = master 字串中卻沒有。

6589949

在指令行介面說明中，字串 INSTANCE_PATH 未翻譯為德文和西班牙文。

6590558

在 Linux 上，如果在 /etc/security/limits.conf 檔案中指定最大檔案數，在系統重新啟動時將無法啟動目錄伺服器實例。

解決方法是在 etc/init.d/dsee_directory 檔案中增加下行。

# ulimit -Hn 65536 # ulimit -Sn 65536

6592543

提示確認停止或取消註冊伺服器的快顯式視窗，在法文語言環境中顯示雙引號 (")。