Dieses Kapitel enthält produktspezifische Informationen, die zum Zeitpunkt der Veröffentlichung von Identity Synchronisation für Windows vorlagen.
In diesem Kapitel werden die Bekannte Probleme und Einschränkungen in Identity Synchronisation für Windows dargestellt:
In diesem Abschnitt werden Probleme und Einschränkungen dargestellt, die zum Zeitpunkt der Veröffentlichung bestanden.
In diesem Abschnitt werden Einschränkungen im Produkt dargestellt. Die Einschränkungen sind nicht immer mit der Nummer der Änderungsanfrage verknüpft.
Achte Sie vor der Installation von Identity Synchronisation für Windows auf Linux darauf, dass das Paket sun-sasl-2.19-4.i386.rpm auf Ihrem System installiert ist. Andernfalls schlägt die Installation von Identity Synchronisation für Windows fehl. Das SASL-Paket ist in den gemeinsam genutzten Komponenten der JES 5-Distribution oder einer höheren Distribution enthalten.
Änderungen an den Dateizugriffsrechten an installierten Directory Server Enterprise Edition-Produktdateien können unter Umständen zu einer fehlerhaften Funktionsweise der Software führen.
Zum Umgehen dieser Einschränkung installieren Sie die Produkte als Benutzer, der über ausreichende Benutzer- und Gruppenberechtigungen verfügt.
Wenn Sie das System verlieren, in dem die Identity Synchronisation für Windows-Kerndienste installiert sind, müssen Sie es erneut installieren. Es besteht kein Failover für den Identity Synchronisation für Windows-Kerndienst.
Erstellen Sie eine Sicherung von ou=services (Konfigurationszweig von Identity Synchronisation für Windows DIT) im LDIF-Format und verwenden Sie diese Angaben bei der Neuinstallation von Identity Synchronisation für Windows.
Wenn Sie Windows 2003 SP1 installieren, wird den Benutzern standardmäßig eine Stunde eingeräumt
Wenn die Benutzer ihre Passwörter für Active Directory ändern, wird das bedarfsgesteuerte Synchronisierungsattribut dspswvalidate auf true festgelegt und kann das alte Passwort zur Authentifizierung am Directory Server verwendet werden. Das auf Directory Server synchronisierte Passwort ist dann das vorherige, alte Passwort, nicht das aktuell gültige Active Directory-Passwort.
Angaben zum Ausschalten dieser Funktion finden Sie unter Microsoft Windows-Support-Dokumentation.
Zum Deinstallieren von Administration Server entfernen Sie /etc/mps/admin/v5.2/shared/config/serverroot.conf , bevor Sie das Administration Server-Paket entfernen.
CLASSPATH muss den Speicherort der Admin-Jars enthalten, das andernfalls während der Neusynchronisierung ein noClassDefFound-Fehler angezeigt wird.
Active Directory 2003 und frühere Versionen verwenden Global Policy Objects (GPO), die global und domänenweit gelten. Aus diesem Grund sind die Passwortrichtlinie und die Einstellungen der Kontosperre inhärent global gültig. Ab Active Directory 2008 (oder 2008 R2) können abgestimmte Passwort Setting Objects (PSO) auf Domänenebene auf Einzelbenutzer oder Gruppen angewandt werden. Für Identity Synchronisation für Windows müssen die Passwortrichtlinie und die Einstellungen der Kontosperre für Active Directory und Directory Server Enterprise Edition einheitlich sein. Achten Sie darauf, dass die Einstellungen der Kontosperre, die für PSO definiert sind, mit der Richtlinie der Directory Server Enterprise Edition-Kontosperre übereinstimmen, die für einen bestimmten Benutzer oder Gruppe festgelegt werden. Achten Sie insbesondere darauf, dass die folgenden PSO-Attribute mit den Einstellungen in Directory Server Enterprise Edition übereinstimmen:
Gibt an, wie häufig ein falsches Passwort eingegeben werden kann, bevor das Benutzerkonto gesperrt wird.
Gibt an, wie lange das Konto gesperrt wird, nachdem zu viele falsche Passwörter eingegeben wurden.
Wenn Active Directory darauf festgelegt ist, Verweise zurückzugeben, kann die bedarfgesteuerte Synchronisierung mehr Zeit beanspruchen und die Fehlermeldung UNWILLING TO PERFORM anzeigen. Zum Umgehen des Problems verwenden Sie den Befehl ldapmodify , um die folgende Änderung an dem Verzeichnisserver anzuwenden, auf dem das Identity Synchronisation für Windows-Plugin ausgeführt wird.
dn: cn=config,cn=pwsync,cn=config changetype: modify add: followreferrals followreferrals: FALSE
Identity Synchronisation für Windows benötigt einen beschreibbaren Domänen-Controller zum Synchronisieren der Erstellung und Änderung von Benutzern. Ein schreibgeschützter Controller wird nicht unterstützt.
Sie müssen die Attributzuordnung, den Erstellungsausdruck und das RDN-Attribut wie unten dargestellt festlegen:
Die Attributzuordnung zwischen Sun Directory Server und Active Directory muss wie unten dargestellt definiert werden:
DS < ----- > AD cn cn uid samaccountname |
Der Erstellungsausdruck muss wie unten dargestellt definiert werden:
for DS: uid=%uid%,<sync_base> for AD: cn=%cn%,<sync_base> |
Für Sun Directory Server-Benutzer muss das RDN-Attribut, das zu synchronisierten Gruppen gehört, uid sein.
In der Gruppensynchronisierung sind die gleichzeitigen Änderungen eines Attributs eines Eintrags nicht definiert.
Nach einem Hardware- oder Anwendungsfehler müssen Sie unter Umständen die Daten in einigen der synchronisierten Verzeichnisquellen aus der Sicherung wiederherstellen.
Nach dem Abschluss der Datenwiederherstellung müssen Sie jedoch ein zusätzliches Verfahren ausführen, um sicherzustellen, dass die Synchronisierung normal ablaufen kann.
Die Konnektoren behalten allgemein Informationen zur letzten Änderung bei, die an die Nachrichtenwarteschlange weitergegeben werden.
Diese Informationen, die als Konnektorstatus bezeichnet werden, werden verwendet, um die folgende Änderung zu ermitteln, die der Konnektor aus seiner Verzeichnisquelle lesen muss. Wenn die Datenbank oder ein synchronisiertes Verzeichnis aus einer Sicherung synchronisiert werden, ist der Konnektorstatus unter Umständen nicht mehr gültig.
Windows-gestützte Konnektoren für Active Directory und Windows NT behalten ebenfalls eine interne Datenbank bei. Die Datenbank ist eine Kopie der synchronisierten Datenquelle. Mit der Datenbank werden die Änderungen in der angeschlossenen Datenquelle ermittelt. Die interne Datenbank ist nicht mehr gültig, wenn die angeschlossene Windows-Quelle über eine Sicherung wiederhergestellt wird.
Der Befehl idsync resync kann allgemein zum erneuten Auffüllen der wiederhergestellten Datenquelle verwendet werden.
Die Neusynchronisierung kann nicht zum Synchronisieren von Passwörtern verwendet werden, mit einer Ausnahme. Die Option -i ALL_USERS kann verwendet werden, um Passwörter in Directory Server ungültig zu machen. Diese Vorgehensweise funktioniert, wenn Windows die Datenquelle der Neusynchronisierung ist. Die SUL-Liste darf nur Active Directory-Systeme umfassen.
Die Verwendung des Befehls idsync resync ist jedoch unter Umständen nicht in jeder Lage akzeptabel.
Achten Sie darauf, dass die Synchronisierung angehalten wurde, bevor Sie einen der im Folgenden dargestellten Schritte ausführen.
Verwenden Sie den Befehl idsync resync mit den entsprechenden Modifizierereinstellungen gemäß den Synchronisierungseinstellungen. Verwenden Sie die wiederhergestellte Verzeichnisquelle als Ziel des Vorgangs resync.
Wenn die wiederhergestellte Datenquelle ein Synchronisierungsziel ist, kann das gleiche Verfahren befolgt werden, das auch für die bidirektionale Synchronisierung gilt.
Wenn die wiederhergestellte Datenquelle eine Synchronisierungsquelle ist, kann idsync resync weiterhin zum erneuten Auffüllen der wiederhergestellten Verzeichnisquelle verwendet werden. Sie müssen die Einstellungen für den Synchronisierungsfluss in der Identitätssynchronisierung für die Windows-Konfiguration nicht ändern. Der Befehl idsync resync erlaubt es Ihnen, mit der Option -o Windows|Sun den Synchronisierungsfluss unabhängig von den konfigurierten Flüssen festzulegen.
Beachten Sie das folgende Szenario als Beispiel.
Die bidirektionale Synchronisierung wird zwischen Directory Server und Active Directory eingerichtet.
Die Datenbank eines Microsoft Active Directory-Servers muss aus einer Sicherung wiederhergestellt werden.
In Identity Synchronisation für Windows ist diese Active Directory-Quelle für die SUL AD konfiguriert.
Die birektionale Synchronisierung für Änderungen, Erstellungen und Löschungen wird zwischen dieser Active Directory-Quelle und einer Sun Directory Server-Quelle eingerichtet.
Halten Sie die Synchronisierung an.
idsync stopsync -w - -q - |
Synchronisieren Sie die Active Directory-Quelle erneut. Synchronisieren Sie auch die Änderungen, Erstellungen und Löschvorgänge erneut.
idsync resync -c -x -o Sun -l AD -w - -q - |
Starten Sie die Synchronisierung erneut.
idsync startsync -w - -q - |
Die folgenden Verfahren entsprechen den spezifischen Verzeichnisquellen.
Wenn Active Directory aus einer Sicherung wiederhergestellt werden kann, befolgen Sie die Verfahren in den Abschnitten zur bidirektionalen oder unidirektionalen Synchronisierung.
Nach einem kritischen Fehler müssen Sie jedoch unter Umständen einen anderen Domänen-Controller verwenden. In diesem Fall befolgen Sie die Schritte zum Aktualisieren der Konfiguration des Active Directory Connectors.
Starten Sie die Identity Synchronisation für Windows-Verwaltungskonsole
Wählen Sie die Registerkarte Konfiguration aus. Erweitern Sie den Knoten Directory Sources.
Wählen Sie die entsprechende Active Directory-Quelle aus.
Klicken Sie auf Edit controller und wählen Sie den neuen Domänen-Controller aus.
Machen Sie den ausgewählten Domänen-Controller zum NT PDC FSMO-Rolleneigentümer der Domäne.
Speichern Sie die Konfiguration.
Halten Sie den Dienst Identity Synchronization auf dem Host an, auf dem der Active Directory Connector ausgeführt wird.
Löschen Sie alle Dateien mit Ausnahme der Verzeichnisse unter ServerRoot/isw-Hostname/persist/ADP xxx. Hierbei ist xxx der Ziffernabschnitt der Active Directory Connector-ID.
Beispielsweise 100, wenn Sie ID des Active Directory Connectors CNN100 ist
Starten Sie den Dienst Identity Synchronization auf dem Host, auf dem der Active Directory Connector ausgeführt wird.
Befolgen Sie die Schritte gemäß Ihrem Synchronisierungsfluss in den Abschnitten zur unidirektionalen oder bidirektionalen Synchronisierung.
Die Datenbank Retro Changelog oder die Datenbank mit den synchronisierten Benutzern oder beide können von einem kritischen Fehler betroffen sein.
Retro Changelog-Datenbank.
Änderungen, die der Directory Server-Konnektor nicht verarbeiten konnte, sind unter Umständen in der Retro Changelog-Datenbank aufgetreten. Die Wiederherstellung der Retro Changelog-Datenbank ist nur sinnvoll, wenn die Sicherung einige unverarbeitete Änderungen enthält. Vergleichen Sie neuesten Eintrag in der Datei ServerRoot/isw-Hostname/persist/ADP xxx/accessor.state mit der neuesten changenumber in der Sicherung. Wenn der Wert in accessor.state größer oder gleich der changenumber in der Sicherung ist, stellen Sie die Datenbank nicht wieder her. Erstellen Sie die Datenbank stattdessen erneut.
Achten Sie nach dem erneuten Erstellen der Retro Changelog-Datenbank darauf, dass Sie idsync prepds ausführen. Alternativ klicken Sie auf Prepare Directory Server im Sun Directory Source-Fenster in der Identity Synchronisation für Windows-Verwaltungskonsole.
Der Directory Server-Konnektor erkennt, dass die Retro Changelog-Datenbank erneut erstellt wird und protokolliert eine Warnmeldung. Sie können diese Meldung problemlos ignorieren.
Synchronisierte Datenbank.
Wenn für die synchronisierte Datenbank keine Sicherung zur Verfügung steht, muss der Directory Server erneut installiert werden.
Wenn die synchronisierte Datenbank aus einer Sicherung wiederhergestellt werden kann, befolgen Sie die Verfahren in den Abschnitten zur bidirektionalen oder unidirektionalen Synchronisierung.
In diesem Abschnitt werden bekannte Probleme dargestellt. Bekannte Probleme sind mit einer Nummer der Änderungsanfrage verknüpft.
Auf Windows 2003-Systemen wird die Flag, die angibt, dass der Benutzer sein Passwort bei der nächsten Anmeldung ändern muss, standardmäßig eingestellt. Auf Windows 2000-Systemen wird die Flag nicht standardmäßig eingestellt.
Wenn Sie Windows 2000- und 2003-Systems mit eingestellter user must change pw at next login-Flag erstellen, werden Benutzer ohne Passwort auf Directory Server erstellt. Wenn sich Benutzer beim nächsten Mal in Active Directory anmelden, müssen sie ihr Passwort erstellen. Mit der Änderung werden ihre Passwörter auf Directory Server ungültig. Die Änderung erzwingt auch eine bedarfsgesteuerte Synchronisierung, wenn sich diese Benutzer beim nächsten Mal in Directory Server authentifizieren.
Die Benutzer können sich erst in Directory Server authentifizieren, wenn sie ihr Passwort in Active Directory geändert haben.
Es können Probleme auftreten, wenn Sie versuchen, die Identity Synchronisation für Windows-Konsole mit PC Anywhere 10 mit Remote Administration 2.1. anzuzeigen. In PC Anywhere Version 9.2 wurden keine Probleme festgestellt. Wenn die Probleme weiterhin bestehen, entfernen Sie Remote Administration. Alternativ kann auch VNC verwendet werden. Es wurden keine Probleme mit VNC und dem Anzeigen der Identity Synchronisation für Windows-Konsole festgestellt.
Wenn Sie Identity Synchronisation für Windows auf einem Windows-System installieren, dass mit dem FAT 32-System formatiert ist, sind keine ACLs verfügbar. Darüber hinaus werden keine Zugriffseinschränkungen für das Setup umgesetzt. Verwenden Sie nur das Windows NTFS-System zum Installieren von Identity Synchronisation für Windows, um die Sicherheit zu gewährleisten.
Die Synchronisierung der Benutzerlöschung kann auch nach dem Ändern der Active Directory-Quelle nicht angehalten werden. Die Synchronisierung des Löschvorgangs wird daher fortgesetzt, wenn die Synchronized Users List einer anderen Organisationseinheit OE in der gleichen Active Directory-Quelle zugeordnet wurde. Der Benutzer wurde in der Directory Server-Instanz gelöscht. Der Benutzer wird als gelöscht angezeigt, auch wenn der Benutzer in der Active Directory-Quelle gelöscht wurde, die über keine SUL-Zuordnung verfügt.
Wenn das Directory Server-Plugin auf Verbrauchern mit Befehlszeile konfiguriert ist, erstellt das Plugin keine neue Unterkomponenten-ID für die Verbraucher. Die Plugin-Konfiguration erstellt keine neuen IDs für Verbraucher.
Das Passwortsynchronisierungs-Plugin für Identity Synchronisation für Windows versucht eine Verbindung zu dem Active Directory für Konten herzustellen, die auch vor dem Prüfen von accountlock und passwordRetryCount noch nicht synchronisiert wurden.
Zum Lösen dieses Problems setzen Sie auf dem LDAP-Server eine Passwortrichtlinie um. Konfigurieren Sie auch Access Manager darauf, den folgenden Filter bei der Benutzersuche zu verwenden:
(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )
Diese Umgehung löst jedoch die Fehlermeldung, dass ein Benutzer nicht gefunden wurde, aus, wenn über LDAP zu viele Anmeldeversuche erfolgen. Die Problemumgehung blockiert nicht das Active Directory-Konto.
Identity Synchronisation für Windows-Konsole startet nicht, wenn o=NetscapeRoot repliziert wird.
Identity Synchronisation für Windows kann Ausnahmen protokollieren, in denen angegeben wird, dass ein Benutzer bereits vorhanden ist, wenn die Hinzufügung von Directory Server zu Active Directory verläuft, bevor es der Löschvorgang kann. Es kann eine Gleichzeitigkeitsbedingung auftreten, wenn der Hinzufügevorgang während der Synchronisierung vor der Löschvorgang ausgeführt wird, daher kann Active Directory eine Ausnahme protokollieren.
Wenn ein Benutzer beispielsweise dn: user1, ou=isw_data zu einer bestehenden Gruppe dn: DSGroup1,ou=isw_data hinzugefügt wird, wird beim Löschen des Benutzers in der Gruppe das uniquemember der Gruppe verändert. Wenn der gleiche Benutzer zu einer Gruppe hinzugefügt wird, die den gleichen DN hat (für userdn: user1, ou=isw_data), wird ein Hinzufügevorgang ausgeführt. An dieser Stelle kann Identity Synchronisation für Windows Ausnahmen protokollieren, die angeben, dass der Benutzer bereits vorhanden ist.
Identity Synchronisation für Windows zeigt Fehler an, wenn Gruppen mit Benutzerinformationen von noch nicht erstellten Benutzern auf Directory Server synchronisiert werden.
Sie können versuchen, den Neusynchronisierungsbefehl auszuführen, um Benutzer von Directory Server in Active Directory zu synchronisieren. Das Erstellen der Gruppenentität schlägt fehl, wenn unsynchronisierte Benutzer zu einer unsynchronisierten Gruppe hinzugefügt werden.
Zum Beheben dieses Problems müssen Sie den Befehl resync zwei Mal ausführen, damit die Synchronisierung korrekt verläuft.
Das Identity Synchronisation für Windows-Plugin kann nicht in verketteten Suffixen suchen. Daher können die Änderungs- und Verbindungsvorgänge nicht an der Directory Server-Instanz ausgeführt werden.
Identity Synchronisation für Windows muss den Export der Identity Synchronisation für Windows-Konfiguration in eine XML-Datei unterstützen.
Sie können den Bereich der Synchronisierung mit der Synchronization Users List über die Schaltfläche Browse im Base DN-Bereich angeben. Wenn Sie den Bereich angeben, werden die Teilsuffixe nicht abgerufen.
Zum Umgehen dieses Problems fügen Sie ACIs hinzu, um anonymen Zugriff auf Lese- und Suchvorgänge zuzulassen.
Während des Upgrades der Hauptkomponenten von Identity Synchronisation für Windows auf Version 1.1 SP1 auf Windows-Systemen enthält die Datei updateCore.bat einen festcodierten, inkorrekten Verweis auf Administration Server. Daher wird der Upgrade-Prozess nicht erfolgreich abgeschlossen.
Zum Lösen dieses Problems ersetzen Sie zwei Instanzen der Verweise auf Administration Server im Upgrade-Skript.
Ersetzen Sie folgenden Anweisungen in Zeile 51 und 95 des Upgrade-Skripts. Ändern Sie die Zeilen wie folgt.
net stop "Sun Java(TM) System Administration Server 5.2"
Die Zeilen müssen aussehen wie folgt:
net stop admin52-serv
Wenn Sie die angegebenen Änderungen ausgeführt haben, führen Sie den Upgrade-Skript erneut aus.
Identity Synchronisation für Windows synchronisiert Benutzer- und Gruppeninformationen zwischen Active Directory und Directory Server, wenn die Gruppensynchronisierungs-Funktion aktiviert ist. Im Idealfall erfolgt die Synchronisierung nur, nachdem der Befehl resync über die Befehlszeile angegeben wurde.
Active Directory-Konnektoren und Directory Server-Konnektoren stürzen ab, wenn versucht wird, geschachtelte Gruppen zu synchronisieren, da diese Synchronisierung zurzeit nicht unterstützt wird.
Für Windows-Erstellungsausdrücke in Directory Server an Active Directory funktioniert der Fluss cn=%cn% für Benutzer und Gruppen. Für jede andere Kombination zeigt Identity Synchronisation für Windows während der Synchronisierung Fehler an.
Das Identity Synchronisation für Windows-Deinstallationsprogramm ist nicht lokalisiert. Die Datei WPSyncResources_X.properties kann im Verzeichnis /opt/sun/isw/locale/resources nicht installiert werden.
Zum Umgehen dieses Problems kopieren Sie die fehlenden WPSyncResources_ X.properties-Dateien manuell aus dem Verzeichnis installer/locale/resources .
Installieren Sie Java Development Kit Version 1.5.0_06 und richten Sie ihn ein, bevor Sie den Administration Server ausführen.
Wenn Sie eine textbasierte Installation von Identity Synchronisation für Windows ausführen und das Administratorpasswort nicht ausfüllen und die Rückgabetaste drücken, wird das Installationsprogramm beendet.
Wenn Sie Identity Synchronisation für Windows auf einem Solaris-System installieren, auf dem die SUNWtls-Paketversion 3.11.0 installiert ist, wird der Administration Server unter Umständen nicht gestartet. Zum Lösen dieses Problems deinstallieren Sie das SUNWtls-Paket, bevor Sie Identity Synchronisation für Windows installieren.
Auf Windows-Plattformen erfordert Message Queue 3.5, die von Identity Synchronisation für Windows verwendet wird, einen PATH-Wert, dessen Länge 1 Kilobyte nicht überschreitet. Längere Werte werden abgeschnitten.
Nach der Installation im japanischen Gebietsschema auf Windows-Systemen sind die Benutzeroberflächen von Identity Synchronisation für Windows nicht vollständig lokalisiert.
Zum Umgehen dieses Problems nehmen Sie die unzip.exe in die Umgebungsvariable PATH auf, bevor Sie die Installation starten.
In Directory Server Enterprise Edition 7.0 wird das Directory Server-Plugin für Identity Synchronisation für Windows im Rahmen der Directory Server-Installation installiert. Das Identity Synchronisation für Windows-Installationsprogramm installiert das Directory Server-Plugin nicht. Stattdessen konfiguriert Identity Synchronisation für Windows nur das Plugin.
In dieser Version von Identity Synchronisation für Windows fordert das textbasierte Installationsprogramm Sie nicht auf, das Directory Server-Plugin für Identity Synchronisation für Windows während des Installationsprozesses zu konfigurieren. Zum Umgehen des Fehlers führen Sie den Befehl Idsync dspluginconfig im Terminalfenster aus, nachdem die Identity Synchronisation für Windows-Installation abgeschlossen wurde.
Das Installations- und Deinstallationsprogramm sind auf Windows-Systemen nicht den internationalen Formaten angepasst.
Auf Windows unterstützt Identity Synchronisation für Windows nur englische und japanische Gebietsschemas.
In der Identity Synchronisation für Windows-Onlinehilfe werden Quadrate statt Multibytezeichen für CCK-Gebietsschemas angezeigt.
Die Synchronisierung der Kontosperre schlägt zwischen Directory Server und Active Directory fehl, wenn der Directory Server-Passwort-Kompatibilitätsmodus pwd-compat-mode auf DS6-migration-mode oder DS6-mode festgelegt ist.
Wenn sich das Administratorpasswort für die Active Directory-Domäne ändert, kann die Identity Synchronisation für Windows-Konsole eine Warnung anzeigen. Als Warnung wird Invalid credentials for Host-Hostname .domainnname angezeigt, auch wenn das verwendete Passwort ist.
Auf Solaris wird SPARC, Identity Synchronisation für Windows unter Umständen aufgrund der fehlenden Datei /usr/share/lib/mps//jss4.jar nicht deinstalliert. Dieses Ereignis tritt nur während der Installation der Produkts ein, wenn das Installationsprogramm die bereits installierte Instanz des SUNWjss-Pakets entdeckt und es nicht aktualisiert.
Zum Umgehen des Problems fügen Sie beim Installieren des Produkts /usr/share/lib/mps/secv1/jss4.jar in den Java-Klassenpfad ein.
$JAVA_EXEC -Djava.library.path=./lib \ -classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\ ${SUNWjss}/usr/share/lib/mps/jss4.jar:\ ${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\ ./lib/ldap.jar:./lib/webstart.jar:\ ${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\ ./resources:./locale/resources:./lib/common.jar:\ ./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \ -Djava.util.logging.config.file=./resources/Log.properties \ -Djava.util.logging.config.file=../resources/Log.properties \ -Dcom.sun.directory.wps.logging.redirectStderr=false \ -Dcom.sun.directory.wps.logging.redirectStdout=false \ uninstall_ISW_Installer $1 |
Identity Synchronisation für Windows unterstützt nicht das Erzwingen des neuen Passworts bei der ersten Anmeldungsanforderung eines Administrators beim Zurücksetzen des Passworts auf einem Windows-Betriebssystem.
Der Benutzer und die Gruppe müssen sich auf der gleichen Ebene des Synchronisierungsbereichs befinden, damit die Gruppensynchronisierung während resync erfolgreich verläuft. Andernfalls wird ein Fehler angezeigt.
Auf Rechnern, auf denen Microsoft Windows ausgeführt wird, und einen Domänen-Controller installiert ist, schlägt die Authentifizierung fehl, wenn ein neuer Server erstellt oder ein bestehender Server in der Webkonsole registriert wird. Zum Umgehen des Problems geben Sie die Benutzer-ID mit dem Domänennamen für den Domänen-Controller an.
Das Verknüpfen von Benutzern von Directory Server zu Active Directory oder von Active Directory zu Directory Server schlägt fehl, wenn die Directory Server-Einträge eine Hilfsobjektklasse enthalten.
Zum Lösen dieses Problems fügen Sie alle Hilfsobjektklassen in die Hilfsobjektklasse in der Identity Synchronisation für Windows-Konsole hinzu.
Der Unterbefehl idsync dspluginconfig kann das Plugin in der neuen Directory Server-Quelle nicht konfigurieren. Wenn idsync dspluginconfig im Deinstallationsmodus verwendet wird, entfernt es den Wert SUBC des aktiven Identity Synchronisation für Windows-Konfigurationsservers.
Wenn das Debugprotokoll aktiviert ist, wird der Konnektor unerwartet beendet. Es wird die Ausnahme NullPointerException & ArrayIndexOutOfBoundsException angezeigt.
Zum Lösen dieses Problems deaktivieren Sie die Debugprotokollierung.
Beim Abrufen des booleschen Werts Synthetic von der Controller OutTask wird der Konnektor unerwartet beendet.
Die Gruppensynchronisierung von Directory Server zu Active Directory schlägt teilweise fehl, wenn die Anzahl der Mitglieder 1000 überschreitet. Die Gruppensynchronisierung synchronisiert nur die ersten 1000 Mitglieder und verwirft die restlichen Mitglieder.
Die Gruppensynchronisierung von Directory Server zu Active Directory schlägt fehl, wenn die Benutzereinträge, die zu einer Gruppe gehören, nicht auf der Basisebene einer Synchronisierung vorhanden sind.
Wenn die Synchronisierungsbasis beispielsweise ou=employees,dc=example,dc=com ist, muss der Benutzer dn uid=user-1,ou=employees,dc=example,dc=com sein. De Gruppensynchronisierung schlägt fehl, wenn der Benutzer dn die Form uid=user-1,ou=sales,ou=employees,dc=example,dc=com hat. In diesem Beispiel war der Container ou=sales zwischen Benutzer und Synchronisierungsbasis die Ursache für das Fehlschlagen der Gruppensynchronisierung.
Der Objekt-Cache lehnt die Änderungen ab, die zu einer Gruppe mit 1500 oder mehr Mitgliedern angefordert wurde.
Der Neusynchronisierungsvorgang schlägt für Gruppeneinträge fehl, wenn ein falscher RDN-Mitgliedswert auftritt.
Die Mitgliederkonvertierung von Directory Server zu Active Directory schlägt fehl, wenn die Mitgliederänderungen nicht zuerst im Retro Changelog protokolliert werden.
Beim Synchronisieren einer umfangreichen statischen Gruppe legt der Directory Server-Konnektor die Einträge des Debugprotokolls fälschlich im Überwachungsprotokoll ab.
In der Verbindung zwischen Active Directory und Active Directory-Connector tritt während der Synchronisierung einer umfangreichen statischen Gruppe eine Zeitüberschreitung auf, die ein Fehlschlagen des Synchronisierungsvorgangs verursacht.
Der Neusynchronisierungsvorgang von Directory Server zu Active Directory erstellt immer die Gruppe Domain Global Security, auch wenn der Gruppentyp als Domain Global Distribution konfiguriert ist.
Die Synchronisierung von Attributen mit leerem Wert schlägt fehl. Dieser Fehler tritt auf, da Active Directory keine leeren Werte akzeptiert, der LDAP-Server jedoch leere Werte akzeptiert.
In einem nicht englischsprachigen Gebietsschema wird der Gruppenfluss von Directory Server zu Active Directory unabhängig von der Konfiguration des Gruppenflusses immer als Domain Global Security angezeigt.
Der Identity Synchronisation für Windows-Konnektor wird wiederholt neu gestartet, wenn er den Eintrag nicht erfolgreich analysieren kann.
Die Gruppensynchronisierung von Active Directory zu Directory Server schlägt fehl, wenn DIT-Root als Synchronisierungs-Root festgelegt ist.
Der Befehl idsync resync reagiert nicht mehr, wenn die Gruppensynchronisierung aktiviert und sich die Synchronisierungsbasis hoch in DIT befindet.
Bei Arbeiten mit RCL-Einträgen reagiert der Directory Server-Konnektor unter Umständen nicht mehr.
Nach dem Anwenden des 125359-08-Patchs funktioniert die Identity Synchronisation für Windows-Administrationskonsole nicht wie erwartet.
Wenn das 119214-19-Patch vor dem Identity Synchronisation für Windows-Kern installiert wird, reagiert der Befehl dsadm nicht mehr.