Bekannte Probleme in Identity Synchronisation für Windows 6.0 (Sun Directory Server Enterprise Edition 7.0 Versionshinweise)

Sun Directory Server Enterprise Edition 7.0 Versionshinweise

Previous: Ausführen einer Datenwiederherstellung, wenn das System oder eine Anwendung ausfällt
Next: Kapitel 7 Behobene Fehler und bekannte Probleme in Directory Server Resource Kit

Bekannte Probleme in Identity Synchronisation für Windows 6.0

In diesem Abschnitt werden bekannte Probleme dargestellt. Bekannte Probleme sind mit einer Nummer der Änderungsanfrage verknüpft.

4997513

Auf Windows 2003-Systemen wird die Flag, die angibt, dass der Benutzer sein Passwort bei der nächsten Anmeldung ändern muss, standardmäßig eingestellt. Auf Windows 2000-Systemen wird die Flag nicht standardmäßig eingestellt.

Wenn Sie Windows 2000- und 2003-Systems mit eingestellter user must change pw at next login-Flag erstellen, werden Benutzer ohne Passwort auf Directory Server erstellt. Wenn sich Benutzer beim nächsten Mal in Active Directory anmelden, müssen sie ihr Passwort erstellen. Mit der Änderung werden ihre Passwörter auf Directory Server ungültig. Die Änderung erzwingt auch eine bedarfsgesteuerte Synchronisierung, wenn sich diese Benutzer beim nächsten Mal in Directory Server authentifizieren.

Die Benutzer können sich erst in Directory Server authentifizieren, wenn sie ihr Passwort in Active Directory geändert haben.

5077227

Es können Probleme auftreten, wenn Sie versuchen, die Identity Synchronisation für Windows-Konsole mit PC Anywhere 10 mit Remote Administration 2.1. anzuzeigen. In PC Anywhere Version 9.2 wurden keine Probleme festgestellt. Wenn die Probleme weiterhin bestehen, entfernen Sie Remote Administration. Alternativ kann auch VNC verwendet werden. Es wurden keine Probleme mit VNC und dem Anzeigen der Identity Synchronisation für Windows-Konsole festgestellt.

5097751

Wenn Sie Identity Synchronisation für Windows auf einem Windows-System installieren, dass mit dem FAT 32-System formatiert ist, sind keine ACLs verfügbar. Darüber hinaus werden keine Zugriffseinschränkungen für das Setup umgesetzt. Verwenden Sie nur das Windows NTFS-System zum Installieren von Identity Synchronisation für Windows, um die Sicherheit zu gewährleisten.

6251334

Die Synchronisierung der Benutzerlöschung kann auch nach dem Ändern der Active Directory-Quelle nicht angehalten werden. Die Synchronisierung des Löschvorgangs wird daher fortgesetzt, wenn die Synchronized Users List einer anderen Organisationseinheit OE in der gleichen Active Directory-Quelle zugeordnet wurde. Der Benutzer wurde in der Directory Server-Instanz gelöscht. Der Benutzer wird als gelöscht angezeigt, auch wenn der Benutzer in der Active Directory-Quelle gelöscht wurde, die über keine SUL-Zuordnung verfügt.

6254516

Wenn das Directory Server-Plugin auf Verbrauchern mit Befehlszeile konfiguriert ist, erstellt das Plugin keine neue Unterkomponenten-ID für die Verbraucher. Die Plugin-Konfiguration erstellt keine neuen IDs für Verbraucher.

6288169

Das Passwortsynchronisierungs-Plugin für Identity Synchronisation für Windows versucht eine Verbindung zu dem Active Directory für Konten herzustellen, die auch vor dem Prüfen von accountlock und passwordRetryCount noch nicht synchronisiert wurden.

Zum Lösen dieses Problems setzen Sie auf dem LDAP-Server eine Passwortrichtlinie um. Konfigurieren Sie auch Access Manager darauf, den folgenden Filter bei der Benutzersuche zu verwenden:

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

Diese Umgehung löst jedoch die Fehlermeldung, dass ein Benutzer nicht gefunden wurde, aus, wenn über LDAP zu viele Anmeldeversuche erfolgen. Die Problemumgehung blockiert nicht das Active Directory-Konto.

6331956

Identity Synchronisation für Windows-Konsole startet nicht, wenn o=NetscapeRoot repliziert wird.

6332183

Identity Synchronisation für Windows kann Ausnahmen protokollieren, in denen angegeben wird, dass ein Benutzer bereits vorhanden ist, wenn die Hinzufügung von Directory Server zu Active Directory verläuft, bevor es der Löschvorgang kann. Es kann eine Gleichzeitigkeitsbedingung auftreten, wenn der Hinzufügevorgang während der Synchronisierung vor der Löschvorgang ausgeführt wird, daher kann Active Directory eine Ausnahme protokollieren.

Wenn ein Benutzer beispielsweise dn: user1, ou=isw_data zu einer bestehenden Gruppe dn: DSGroup1,ou=isw_data hinzugefügt wird, wird beim Löschen des Benutzers in der Gruppe das uniquemember der Gruppe verändert. Wenn der gleiche Benutzer zu einer Gruppe hinzugefügt wird, die den gleichen DN hat (für userdn: user1, ou=isw_data), wird ein Hinzufügevorgang ausgeführt. An dieser Stelle kann Identity Synchronisation für Windows Ausnahmen protokollieren, die angeben, dass der Benutzer bereits vorhanden ist.

6332197

Identity Synchronisation für Windows zeigt Fehler an, wenn Gruppen mit Benutzerinformationen von noch nicht erstellten Benutzern auf Directory Server synchronisiert werden.

6335193

Sie können versuchen, den Neusynchronisierungsbefehl auszuführen, um Benutzer von Directory Server in Active Directory zu synchronisieren. Das Erstellen der Gruppenentität schlägt fehl, wenn unsynchronisierte Benutzer zu einer unsynchronisierten Gruppe hinzugefügt werden.

Zum Beheben dieses Problems müssen Sie den Befehl resync zwei Mal ausführen, damit die Synchronisierung korrekt verläuft.

6336471

Das Identity Synchronisation für Windows-Plugin kann nicht in verketteten Suffixen suchen. Daher können die Änderungs- und Verbindungsvorgänge nicht an der Directory Server-Instanz ausgeführt werden.

6337018

Identity Synchronisation für Windows muss den Export der Identity Synchronisation für Windows-Konfiguration in eine XML-Datei unterstützen.

6339444

Sie können den Bereich der Synchronisierung mit der Synchronization Users List über die Schaltfläche Browse im Base DN-Bereich angeben. Wenn Sie den Bereich angeben, werden die Teilsuffixe nicht abgerufen.

Zum Umgehen dieses Problems fügen Sie ACIs hinzu, um anonymen Zugriff auf Lese- und Suchvorgänge zuzulassen.

6379804

Während des Upgrades der Hauptkomponenten von Identity Synchronisation für Windows auf Version 1.1 SP1 auf Windows-Systemen enthält die Datei updateCore.bat einen festcodierten, inkorrekten Verweis auf Administration Server. Daher wird der Upgrade-Prozess nicht erfolgreich abgeschlossen.

Zum Lösen dieses Problems ersetzen Sie zwei Instanzen der Verweise auf Administration Server im Upgrade-Skript.

Ersetzen Sie folgenden Anweisungen in Zeile 51 und 95 des Upgrade-Skripts. Ändern Sie die Zeilen wie folgt.

net stop "Sun Java(TM) System Administration Server 5.2"

Die Zeilen müssen aussehen wie folgt:

net stop admin52-serv

Wenn Sie die angegebenen Änderungen ausgeführt haben, führen Sie den Upgrade-Skript erneut aus.

6386664

Identity Synchronisation für Windows synchronisiert Benutzer- und Gruppeninformationen zwischen Active Directory und Directory Server, wenn die Gruppensynchronisierungs-Funktion aktiviert ist. Im Idealfall erfolgt die Synchronisierung nur, nachdem der Befehl resync über die Befehlszeile angegeben wurde.

6388815

Active Directory-Konnektoren und Directory Server-Konnektoren stürzen ab, wenn versucht wird, geschachtelte Gruppen zu synchronisieren, da diese Synchronisierung zurzeit nicht unterstützt wird.

6388872

Für Windows-Erstellungsausdrücke in Directory Server an Active Directory funktioniert der Fluss cn=%cn% für Benutzer und Gruppen. Für jede andere Kombination zeigt Identity Synchronisation für Windows während der Synchronisierung Fehler an.

6444341

Das Identity Synchronisation für Windows-Deinstallationsprogramm ist nicht lokalisiert. Die Datei WPSyncResources_X.properties kann im Verzeichnis /opt/sun/isw/locale/resources nicht installiert werden.

Zum Umgehen dieses Problems kopieren Sie die fehlenden WPSyncResources_ X.properties-Dateien manuell aus dem Verzeichnis installer/locale/resources .

6444878

Installieren Sie Java Development Kit Version 1.5.0_06 und richten Sie ihn ein, bevor Sie den Administration Server ausführen.

6444896

Wenn Sie eine textbasierte Installation von Identity Synchronisation für Windows ausführen und das Administratorpasswort nicht ausfüllen und die Rückgabetaste drücken, wird das Installationsprogramm beendet.

6452425

Wenn Sie Identity Synchronisation für Windows auf einem Solaris-System installieren, auf dem die SUNWtls-Paketversion 3.11.0 installiert ist, wird der Administration Server unter Umständen nicht gestartet. Zum Lösen dieses Problems deinstallieren Sie das SUNWtls-Paket, bevor Sie Identity Synchronisation für Windows installieren.

6452538

Auf Windows-Plattformen erfordert Message Queue 3.5, die von Identity Synchronisation für Windows verwendet wird, einen PATH-Wert, dessen Länge 1 Kilobyte nicht überschreitet. Längere Werte werden abgeschnitten.

6472296

Nach der Installation im japanischen Gebietsschema auf Windows-Systemen sind die Benutzeroberflächen von Identity Synchronisation für Windows nicht vollständig lokalisiert.

Zum Umgehen dieses Problems nehmen Sie die unzip.exe in die Umgebungsvariable PATH auf, bevor Sie die Installation starten.

6477567

In Directory Server Enterprise Edition 7.0 wird das Directory Server-Plugin für Identity Synchronisation für Windows im Rahmen der Directory Server-Installation installiert. Das Identity Synchronisation für Windows-Installationsprogramm installiert das Directory Server-Plugin nicht. Stattdessen konfiguriert Identity Synchronisation für Windows nur das Plugin.

In dieser Version von Identity Synchronisation für Windows fordert das textbasierte Installationsprogramm Sie nicht auf, das Directory Server-Plugin für Identity Synchronisation für Windows während des Installationsprozesses zu konfigurieren. Zum Umgehen des Fehlers führen Sie den Befehl Idsync dspluginconfig im Terminalfenster aus, nachdem die Identity Synchronisation für Windows-Installation abgeschlossen wurde.

6485333

Das Installations- und Deinstallationsprogramm sind auf Windows-Systemen nicht den internationalen Formaten angepasst.

6486505

Auf Windows unterstützt Identity Synchronisation für Windows nur englische und japanische Gebietsschemas.

6492125

In der Identity Synchronisation für Windows-Onlinehilfe werden Quadrate statt Multibytezeichen für CCK-Gebietsschemas angezeigt.

6501874

Die Synchronisierung der Kontosperre schlägt zwischen Directory Server und Active Directory fehl, wenn der Directory Server-Passwort-Kompatibilitätsmodus pwd-compat-mode auf DS6-migration-mode oder DS6-mode festgelegt ist.

6501886

Wenn sich das Administratorpasswort für die Active Directory-Domäne ändert, kann die Identity Synchronisation für Windows-Konsole eine Warnung anzeigen. Als Warnung wird Invalid credentials for Host-Hostname .domainnname angezeigt, auch wenn das verwendete Passwort ist.

6529349

Auf Solaris wird SPARC, Identity Synchronisation für Windows unter Umständen aufgrund der fehlenden Datei /usr/share/lib/mps//jss4.jar nicht deinstalliert. Dieses Ereignis tritt nur während der Installation der Produkts ein, wenn das Installationsprogramm die bereits installierte Instanz des SUNWjss-Pakets entdeckt und es nicht aktualisiert.

Zum Umgehen des Problems fügen Sie beim Installieren des Produkts /usr/share/lib/mps/secv1/jss4.jar in den Java-Klassenpfad ein.

$JAVA_EXEC -Djava.library.path=./lib \
-classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\
${SUNWjss}/usr/share/lib/mps/jss4.jar:\
${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\
./lib/ldap.jar:./lib/webstart.jar:\
${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\
./resources:./locale/resources:./lib/common.jar:\
./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \
-Djava.util.logging.config.file=./resources/Log.properties \
-Djava.util.logging.config.file=../resources/Log.properties \
-Dcom.sun.directory.wps.logging.redirectStderr=false \
-Dcom.sun.directory.wps.logging.redirectStdout=false \
uninstall_ISW_Installer $1

6544353

Identity Synchronisation für Windows unterstützt nicht das Erzwingen des neuen Passworts bei der ersten Anmeldungsanforderung eines Administrators beim Zurücksetzen des Passworts auf einem Windows-Betriebssystem.

6572575

Der Benutzer und die Gruppe müssen sich auf der gleichen Ebene des Synchronisierungsbereichs befinden, damit die Gruppensynchronisierung während resync erfolgreich verläuft. Andernfalls wird ein Fehler angezeigt.

6594767

Auf Rechnern, auf denen Microsoft Windows ausgeführt wird, und einen Domänen-Controller installiert ist, schlägt die Authentifizierung fehl, wenn ein neuer Server erstellt oder ein bestehender Server in der Webkonsole registriert wird. Zum Umgehen des Problems geben Sie die Benutzer-ID mit dem Domänennamen für den Domänen-Controller an.

6691600

Das Verknüpfen von Benutzern von Directory Server zu Active Directory oder von Active Directory zu Directory Server schlägt fehl, wenn die Directory Server-Einträge eine Hilfsobjektklasse enthalten.

Zum Lösen dieses Problems fügen Sie alle Hilfsobjektklassen in die Hilfsobjektklasse in der Identity Synchronisation für Windows-Konsole hinzu.

6709099

Der Unterbefehl idsync dspluginconfig kann das Plugin in der neuen Directory Server-Quelle nicht konfigurieren. Wenn idsync dspluginconfig im Deinstallationsmodus verwendet wird, entfernt es den Wert SUBC des aktiven Identity Synchronisation für Windows-Konfigurationsservers.

6721443

Wenn das Debugprotokoll aktiviert ist, wird der Konnektor unerwartet beendet. Es wird die Ausnahme NullPointerException & ArrayIndexOutOfBoundsException angezeigt.

Zum Lösen dieses Problems deaktivieren Sie die Debugprotokollierung.

6725352

Beim Abrufen des booleschen Werts Synthetic von der Controller OutTask wird der Konnektor unerwartet beendet.

6728359

Die Gruppensynchronisierung von Directory Server zu Active Directory schlägt teilweise fehl, wenn die Anzahl der Mitglieder 1000 überschreitet. Die Gruppensynchronisierung synchronisiert nur die ersten 1000 Mitglieder und verwirft die restlichen Mitglieder.

6728372

Die Gruppensynchronisierung von Directory Server zu Active Directory schlägt fehl, wenn die Benutzereinträge, die zu einer Gruppe gehören, nicht auf der Basisebene einer Synchronisierung vorhanden sind.

Wenn die Synchronisierungsbasis beispielsweise ou=employees,dc=example,dc=com ist, muss der Benutzer dn uid=user-1,ou=employees,dc=example,dc=com sein. De Gruppensynchronisierung schlägt fehl, wenn der Benutzer dn die Form uid=user-1,ou=sales,ou=employees,dc=example,dc=com hat. In diesem Beispiel war der Container ou=sales zwischen Benutzer und Synchronisierungsbasis die Ursache für das Fehlschlagen der Gruppensynchronisierung.

6740714

Der Objekt-Cache lehnt die Änderungen ab, die zu einer Gruppe mit 1500 oder mehr Mitgliedern angefordert wurde.

6740715

Der Neusynchronisierungsvorgang schlägt für Gruppeneinträge fehl, wenn ein falscher RDN-Mitgliedswert auftritt.

6744089

Die Mitgliederkonvertierung von Directory Server zu Active Directory schlägt fehl, wenn die Mitgliederänderungen nicht zuerst im Retro Changelog protokolliert werden.

6749286

Beim Synchronisieren einer umfangreichen statischen Gruppe legt der Directory Server-Konnektor die Einträge des Debugprotokolls fälschlich im Überwachungsprotokoll ab.

6749294

In der Verbindung zwischen Active Directory und Active Directory-Connector tritt während der Synchronisierung einer umfangreichen statischen Gruppe eine Zeitüberschreitung auf, die ein Fehlschlagen des Synchronisierungsvorgangs verursacht.

6749923

Der Neusynchronisierungsvorgang von Directory Server zu Active Directory erstellt immer die Gruppe Domain Global Security, auch wenn der Gruppentyp als Domain Global Distribution konfiguriert ist.

6758690

Die Synchronisierung von Attributen mit leerem Wert schlägt fehl. Dieser Fehler tritt auf, da Active Directory keine leeren Werte akzeptiert, der LDAP-Server jedoch leere Werte akzeptiert.

6762863

In einem nicht englischsprachigen Gebietsschema wird der Gruppenfluss von Directory Server zu Active Directory unabhängig von der Konfiguration des Gruppenflusses immer als Domain Global Security angezeigt.

6773492

Der Identity Synchronisation für Windows-Konnektor wird wiederholt neu gestartet, wenn er den Eintrag nicht erfolgreich analysieren kann.

6793036

Die Gruppensynchronisierung von Active Directory zu Directory Server schlägt fehl, wenn DIT-Root als Synchronisierungs-Root festgelegt ist.

6796659

Der Befehl idsync resync reagiert nicht mehr, wenn die Gruppensynchronisierung aktiviert und sich die Synchronisierungsbasis hoch in DIT befindet.

6854004

Bei Arbeiten mit RCL-Einträgen reagiert der Directory Server-Konnektor unter Umständen nicht mehr.

6862596

Nach dem Anwenden des 125359-08-Patchs funktioniert die Identity Synchronisation für Windows-Administrationskonsole nicht wie erwartet.

6862663

Wenn das 119214-19-Patch vor dem Identity Synchronisation für Windows-Kern installiert wird, reagiert der Befehl dsadm nicht mehr.