Limitaciones y problemas conocidos de Identity Synchronization para Windows

En esta sección, se muestran las limitaciones y los problemas conocidos en el momento del lanzamiento.

Limitaciones de Identity Synchronization para Windows

En esta sección, se enumeran las limitaciones del producto. Las limitaciones no siempre están asociadas al número de solicitud de cambio.

Identity Synchronization para Windows necesita sun-sasl-2.19-4.i386.rpm para instalarse satisfactoriamente.

En Linux, antes de instalar Identity Synchronization para Windows, asegúrese de que el paquete sun-sasl-2.19-4.i386.rpm esté instalado en el sistema. De lo contrario, no se completará la instalación de Identity Synchronization para Windows. El paquete SASL se encuentra disponible en los componentes compartidos de la distribución JES 5 o posterior.

No cambie los permisos de archivo manualmente.

En algunos casos, los cambios realizados en los permisos de los archivos del producto Directory Server Enterprise Edition pueden impedir que el software funcione correctamente.

Para solucionar esta limitación, realice la instalación como un usuario con los permisos de usuario y grupo adecuados.

El servicio central de Identity Synchronization para Windows no dispone de conmutación por error.

Si se pierde el sistema en el que se han instalado los servicios centrales de Identity Synchronization para Windows, deberá instalarlo de nuevo. El servicio central de Identity Synchronization para Windows no dispone de conmutación por error.

Utilice la información de una copia de seguridad de ou=services (la rama de configuración del DIT de Identity Synchronization para Windows) con el formato LDIF al reinstalar Identity Synchronization para Windows.

Cambio en el comportamiento de autenticación de Microsoft Windows 2003 SP1.

Al instalar Windows 2003 SP1, a los usuarios se les concede de forma predeterminada una hora para que accedan a sus cuentas con sus contraseñas antiguas.

Por consiguiente, cuando los usuarios cambian las contraseñas en Active Directory, el atributo de sincronización a petición dspswvalidate se establece en "true" (verdadero) y la contraseña antigua puede utilizarse para la autenticación en Directory Server. La contraseña que se sincroniza en Directory Server es la anterior (la contraseña antigua) en lugar de la contraseña actual de Active Directory.

Consulte la documentación de asistencia técnica de Microsoft Windows para obtener más información sobre cómo activar esta función.

Suprima serverroot.conf antes de eliminar el servidor de administración.

Para desinstalar el servidor de administración, suprima /etc/mps/admin/v5.2/shared/config/serverroot.conf antes de eliminar el paquete de esta aplicación.

Indica la ruta de los archivos jar de administración en CLASSPATH.

CLASSPATH debería contener la ubicación de los archivos jar; de lo contrario, se mostrará el error noClassDefFound durante la resincronización.

Establezca la configuración de la directiva de contraseñas de PSO para adaptarla a Directory Server Enterprise Edition.

Active Directory 2003 y las versiones anteriores utilizan los objetos de directiva global (GPO), que abarcan tanto un nivel global como de dominio. Por lo tanto, la configuración de bloqueo de cuenta y directiva de contraseñas presenta una naturaleza global. Sin embargo, a partir de la versión Active Directory 2008 (o 2008 R2), se pueden aplicar objetos precisos de configuración de contraseña de nivel de dominio a usuarios o grupos individuales. Identity Synchronization para Windows necesita que la configuración de bloqueo de cuenta y directiva de contraseñas sea uniforme entre Active Directory y Directory Server Enterprise Edition Asegúrese de que la configuración de bloqueo de cuenta del objeto PSO coincida con la directiva de bloqueo de cuenta de Directory Server Enterprise Edition de un determinado grupo o usuario. En concreto, asegúrese de que los siguientes atributos de PSO coincidan con la configuración de Directory Server Enterprise Edition:

msDS-LockoutThreshold

Especifica el número de intentos erróneos de introducción de la contraseña que se permiten antes de que se bloquee la cuenta de usuario.

msDS-LockoutDuration

Especifica la duración del bloqueo de la cuenta tras realizarse varios intentos erróneos de introducción de la contraseña.

Si Active Directory se configura para que devuelva referencias, la sincronización a petición puede requerir un periodo de tiempo prolongado y devolver el mensaje de error UNWILLING TO PERFORM (No dispuesto a funcionar). Para solucionar este problema, utilice el comando ldapmodify a fin de aplicar el siguiente cambio al servidor de directorios en el que se está ejecutando el complemento de Identity Synchronization para Windows.

dn: cn=config,cn=pwsync,cn=config
changetype: modify
add: followreferrals
followreferrals: FALSE

No se admiten los controladores de dominio de sólo lectura.

Identity Synchronization para Windows necesita un controlador de dominio con capacidad de escritura para sincronización la creación y la modificación de usuarios. No se admite un controlador de sólo lectura.

La sincronización de grupos presentará errores si no se especifican la asignación de atributos, la expresión de creación ni el atributo RDN, tal y como se recomienda.

Debe establecer la asignación de atributos, la expresión de creación y el atributo RDN, como se indica a continuación.

• La asignación de atributos entre Sun Directory Server y Active Directory debe definirse como se indica a continuación:

  DS < ----- > AD cn cn uid samaccountname

• La expresión de creación debe definirse como se indica a continuación.

  for DS: uid=%uid%,<sync_base> for AD: cn=%cn%,<sync_base>

• Si se utiliza Sun Directory Server, el atributo RDN que pertenece a los grupos sincronizados debe establecerse en uid.

No se ha definido el comportamiento para la actualización simultánea de un atributo.

En la sincronización de grupos, no se han definido las modificaciones simultáneas de un atributo de una entrada.

Recuperación de datos en caso de error del sistema o de una aplicación

Después de producirse un error del sistema o de una aplicación, es posible que tenga que restaurar los datos a partir de una copia de seguridad en algunos orígenes de directorio sincronizados.

Sin embargo, tras completar la recuperación de los datos, debe realizar un procedimiento adicional para garantizar que la sincronización siga realizándose con normalidad.

Los conectores mantienen normalmente información acerca del último cambio que se ha propagado a la cola de mensajes.

Esta información, denominada estado del conector, se utiliza para determinar el siguiente cambio que debe leer el conector desde el origen de directorio. Si la base de datos de un origen de directorio se restaura a partir de una copia de seguridad, es posible que el estado del conector ya no sea válido.

Los conectores basados en Windows de Active Directory y Windows NT mantienen también una base de datos interna. Esta base de datos es una copia del origen de datos sincronizado y se utiliza para determinar los cambios efectuados en el origen de datos conectado. La base de datos interna ya no será válida una vez que se restaure el origen de Windows conectado a partir de una copia de seguridad.

En general, se puede utilizar el comando idsync resync para volver a llenar el origen de datos recuperado.

La función de resincronización no se puede utilizar para sincronizar las contraseñas con una excepción; se puede utilizar la opción -i ALL_USERS para anular las contraseñas en Directory Server. Este método funcionará si el origen de datos de resincronización es de Windows. Además, la lista SUL sólo debe incluir los sistemas Active Directory.

Sin embargo, es posible que no se permita el uso del comando idsync resync en determinadas situaciones.

Antes de realizar cualquiera de los pasos indicados a continuación, asegúrese de que se haya detenido la sincronización.

Sincronización bidireccional

Utilice el comando idsync resync con los valores del modificador adecuados en función de la configuración de sincronización. Utilice el origen de directorio recuperado como destino de la operación resync.

Sincronización unidireccional

Si el origen de datos recuperado es un destino de sincronización, se puede realizar el mismo procedimiento indicado para la sincronización bidireccional.

Si, por el contrario, el origen de datos recuperado es el origen de la sincronización, aún se puede utilizar el comando idsync resync para volver a llenar el origen de directorio recuperado. No se deben cambiar los valores de flujo de la sincronización en la configuración de Identity Synchronization para Windows. El comando idsync resync permite establecer el flujo de la sincronización, independientemente de los flujos configurados con la opción -o Windows|Sun.

Tenga en cuenta el siguiente escenario como ejemplo.

Se ha configurado la sincronización bidireccional entre Directory Server y Active Directory.

• La base de datos de un servidor de Microsoft Active Directory debe recuperarse a partir de una copia de seguridad.

• En Identity Synchronization para Windows, este origen de Active Directory se ha configurado para el elemento AD de SUL.

• Se ha configurado la sincronización bidireccional para las operaciones de creación, modificación y eliminación entre este origen de Active Directory y un origen de Sun Directory Server.

Para realizar la sincronización unidireccional

1. Detenga la sincronización.

   idsync stopsync -w - -q -

2. Vuelva a sincronizar el origen de Active Directory. Vuelva a sincronizar también las operaciones de creación, modificación y eliminación.

   idsync resync -c -x -o Sun -l AD -w - -q -

3. Reinicie la sincronización.

   idsync startsync -w - -q -

Procedimientos de recuperación específicos del origen de directorio

Los siguientes procedimientos se corresponden con orígenes de directorio específicos.

Microsoft Active Directory

Si Active Directory se puede restaurar a partir de una copia de seguridad, siga los procedimientos descritos en las secciones que abordan la sincronización unidireccional o bidireccional.

Sin embargo, es posible que deba utilizar un controlador de dominio diferente después de producirse un error crítico. En ese caso, siga estos pasos para actualizar la configuración del conector de Active Directory.

Para cambiar el controlador de dominio

1. Inicie la consola de administración de Identity Synchronization para Windows.

2. Seleccione la ficha Configuración. Expanda el nodo Orígenes de directorio.

3. Seleccione el origen de Active Directory adecuado.

4. Haga clic en Editar controlador y, a continuación, seleccione el nuevo controlador de dominio.

   Establezca el controlador de dominio seleccionado como el propietario de la función NT PDC FSMO del dominio.

5. Guarde la configuración.

6. Detenga el servicio Identity Synchronization en el host en el que se está ejecutando el conector de Active Directory.

7. Elimine todos los archivos, excepto los directorios en ServerRoot/isw-hostname/persist/ADP xxx. En este contexto, xxx hace referencia a la parte numérica del identificador del conector de Active Directory.

   Por ejemplo, 100 si el identificador del conector de Active Directory es CNN100.

8. Inicie el servicio Identity Synchronization en el host en el que se está ejecutando el conector de Active Directory.

9. Siga los pasos asociados al flujo de la sincronización en las secciones acerca de la sincronización unidireccional o bidireccional.

Conmutación por error y Directory Server

Un error crítico puede afectar a la base de datos del registro de cambios retroactivos, a la base de datos con los usuarios sincronizados o ambos elementos.

Para administrar la conmutación por error de Directory Server

1. Base de datos de cambios retroactivos

   Es posible que los cambios que el conector de Directory Server no pudo procesar se hayan incluido en la base de datos del registro de cambios retroactivos. Sólo se debe restaurar la base de datos del registro de cambios retroactivos, si la copia de seguridad contiene algunos cambios sin procesar. Compare la entrada más reciente del archivo ServerRoot/isw-hostname/persist/ADP xxx/accessor.state con el último número de cambios de la copia de seguridad. Si el valor de accessor.state es superior o igual al número de cambios de la copia de seguridad, no restaure la base de datos. Vuela a crearla en su lugar.

   Una vez que se ha vuelto a crear la base de datos del registro de cambios retroactivos, asegúrese de ejecutar idsync prepds. También puede hacer clic en Preparar Directory Server en la ventana del origen de directorio de Sun de la consola de administración de Identity Synchronization para Windows.

   El conector de Directory Server detecta que se ha vuelto a crear la base de datos del registro de cambios retroactivo y escribe un mensaje de advertencia. Puede omitir con seguridad este mensaje.

2. Base de datos sincronizada

   Si no hay ninguna copia de seguridad disponible para la base de datos sincronizada, debe instalarse de nuevo el conector de Directory Server.

   Si la base de datos sincronizada puede restaurarse a partir de una copia de seguridad, siga los procedimientos descritos en las secciones acerca de la sincronización unidireccional o bidireccional.

Problemas conocidos de Identity Synchronization para Windows 6.0

En esta sección, se describen los problemas conocidos. Los problemas conocidos están asociados a un número de solicitud de cambio.

4997513

En los sistemas Windows 2003, el indicador que señala que el usuario debe cambiar su contraseña en el próximo inicio de sesión se establece de forma predeterminada. Por el contrario, en los sistemas Windows 2000, este indicador no se establece de forma predeterminada.

Al crear usuarios en los sistemas Windows 2000 y 2003 con el indicador el usuario debe cambiar la contraseña en el próximo inicio de sesión establecido, éstos se crean sin contraseñas en Directory Server. La próxima vez que los usuarios inicien una sesión en Active Directory, deberán cambiar sus contraseñas. Este cambio anula sus contraseñas en Directory Server. Además, fuerza la sincronización a petición la próxima vez que esos usuarios se autentiquen en Directory Server.

Hasta que los usuarios no cambien sus contraseñas en Active Directory, éstos no podrán autenticarse en Directory Server.

5077227

Se producen problemas al intentar ver la consola de Identity Synchronization para Windows con PC Anywhere 10 y Remote Administration 2.1. Se ha comprobado que la versión 9.2 de PC Anywhere no provoca errores. Si el problema persiste, quite el software de administración remota. También se puede utilizar VNC. Se ha comprobado que VNC no provoca ningún problema al mostrar la consola de Identity Synchronization para Windows.

5097751

Si instala Identity Synchronization para Windows en un sistema Windows con un formato de sistema FAT 32, no estará disponible ninguna ACL. Además, no se aplicarán las restricciones de acceso en la configuración. A fin de garantizar la seguridad, utilice sólo un sistema NTFS de Windows para instalar Identity Synchronization para Windows.

6251334

La sincronización de eliminación de usuarios no se puede detener después de modificar el origen de Active Directory. Por lo tanto, seguirá realizándose la sincronización de eliminación cuando se haya asignado la lista de usuarios sincronizados a una unidad organizativa diferente, OU, en el mismo origen de Active Directory. El usuario aparecerá como eliminado en la instancia de Directory Server. También aparecerá como eliminado, aunque el usuario se haya eliminado de un origen de Active Directory sin una asignación de SUL.

6254516

Si se ha configurado Directory Server en los consumidores con la línea de comandos, el complemento no creará un nuevo Id. de subcomponente para los consumidores. La configuración del complemento no crea ningún Id. nuevo para los consumidores.

6288169

El complemento de sincronización de contraseñas de Identity Synchronization para Windows intenta establecer un enlace a Active Directory para obtener las cuentas que no se han sincronizado antes de comprobar accountlock ypasswordRetryCount.

Para solucionar este problema, aplique una directiva de contraseñas en un servidor LDAP. Además, configure Access Manager para que utilice el siguiente filtro en la búsqueda de usuarios:

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

Sin embargo, esta solución genera un error de usuario no encontrado cuando se llevan a cabo demasiados intentos de inicio de sesión a través de LDAP. Esta solución no bloquea la cuenta de Active Directory.

6331956

La consola de Identity Synchronization para Windows no puede iniciarse si se ha repetido o=NetscapeRoot.

6332183

Identity Synchronization para Windows puede registrar excepciones en las que se indica que ya existe un usuario si la operación de adición se transfiere de Directory Server a Active Directory antes de que pueda hacerlo la operación de eliminación. Puede producirse una condición de desincronización si la operación de adición se realiza antes que la operación de eliminación durante la sincronización, lo que provocaría que Active Directory registrase una excepción.

Por ejemplo, si un usuario, dn: user1, ou=isw_data, se agrega a un grupo existente, dn: DSGroup1,ou=isw_data, cuando se elimine el usuario del grupo, se modificará la propiedad uniquemember del grupo. Si el mismo usuario se agrega a un grupo con el mismo DN (para userdn: user1, ou=isw_data), se realiza una operación de adición. En ese momento, es posible que Identity Synchronization para Windows registre excepciones en las que se indican que el usuario ya existe.

6332197

Identity Synchronization para Windows genera errores cuando los grupos se sincronizan en Directory Server sin que se haya creado aún la información de los usuarios.

6335193

Puede intentar ejecutar el comando de resincronización para sincronizar los usuarios de Directory Server en Active Directory. La creación de una entidad de grupo no se realizará si se agregan usuarios no sincronizados a un grupo sin sincronizar.

Para solucionar este problema, debería ejecutar dos veces el comando resync a fin de que la sincronización se realice correctamente.

6336471

El complemento de Identity Synchronization para Windows no puede realizar búsquedas mediante sufijos encadenados. Por lo tanto, no se pueden realizar las operaciones de modificación y enlace en la instancia de Directory Server.

6337018

Identity Synchronization para Windows debería admitir la exportación de la configuración de Identity Synchronization para Windows a un archivo XML.

6339444

Puede especificar el ámbito de la sincronización con la lista de usuarios de sincronización mediante el botón Examinar del panel del DN de base. Al especificar el ámbito, no se recuperan los subsufijos.

A fin de solucionar este problema, agregue ACI para permitir el acceso anónimo a las lecturas y las búsquedas.

6379804

Durante la actualización de los componentes centrales de Identity Synchronization para Windows a la versión 1.1 SP1 en los sistemas Windows, el archivo updateCore.bat contiene una referencia codificada incorrecta al servidor de administración. Por lo tanto, el proceso de actualización no se realizará satisfactoriamente.

Para solucionar este problema, sustituya las dos instancias de las referencias al servidor de administración en la secuencia de comandos de actualización.

Sustituya las siguientes instrucciones en las líneas 51 y 95 de la secuencia de comandos de actualización. Cambie las líneas de la siguiente forma.

net stop "Sun Java(TM) System Administration Server 5.2"

En su lugar, las líneas deberían presentar el siguiente aspecto:

net stop admin52-serv

Después de realizar los cambios especificados, vuelva a ejecutar la secuencia de comandos de actualización.

6386664

Identity Synchronization para Windows sincroniza la información de usuarios y grupos entre Active Directory y Directory Server cuando está habilitada la función de sincronización de grupos. Lo ideal sería que la sincronización sólo se realizase después de emitir el comando resync desde la línea de comandos.

6388815

Los conectores de Active Directory y Directory Server se bloquean cuando se intentan sincronizar los grupos anidados debido a que no se admite este tipo de sincronización.

6388872

En las expresiones de creación de Windows de una instancia de Directory Server en Active Directory, el flujo cn=%cn% es válido tanto para usuarios como para grupos. Si se utiliza cualquier otra combinación, Identity Synchronization para Windows mostrará errores durante la sincronización.

6444341

El programa de desinstalación de Identity Synchronization para Windows no está traducido. Los archivos WPSyncResources_X.properties no se pueden instalar en el directorio /opt/sun/isw/locale/resources.

Para solucionar este problema, copie manualmente los archivos WPSyncResources_ X.properties ausentes desde el directorio installer/locale/resources.

6444878

Instale y configure la versión 1.5.0_06 de Java Development Kit antes de ejecutar el servidor de administración.

6444896

Si se realiza una instalación basada en texto de Identity Synchronization para Windows, al dejar la contraseña del administrador en blanco y pulsar Intro, el programa de instalación se cierra.

6452425

Si se instala Identity Synchronization para Windows en un sistema Solaris en el que se ha instalado la versión 3.11.0 del paquete SUNWtls, es posible que el servidor de administración no se inicie. Para solucionar este problema, desinstale el paquete SUNWtls antes de instalar Identity Synchronization para Windows.

6452538

En las plataformas Windows, la instancia de Message Queue 3.5 utilizada por Identity Synchronization para Windows requiere un valor de PATH con una longitud inferior a 1 kilobyte. Los valores con una longitud mayor aparecerán truncados.

6472296

Después de realizar la instalación en un sistema Windows con la configuración regional japonesa, las interfaces de usuario Identity Synchronization para Windows no aparecen totalmente traducidas.

Para solucionar este problema, incluya unzip.exe en la variable de entorno PATH antes de iniciar la instalación.

6477567

En Directory Server Enterprise Edition 7.0, el complemento de Directory Server para Identity Synchronization para Windows se instala durante la instalación de Directory Server. El programa de instalación Identity Synchronization para Windows no instala el complemento de Directory Server. Identity Synchronization para Windows sólo configura el complemento.

En esta versión de Identity Synchronization para Windows, el programa de instalación basado en texto no le solicita que configure el complemento de Directory Server para Identity Synchronization para Windows durante el proceso de instalación. Para solucionar este problema, ejecute el comando Idsync dspluginconfig en la ventana de terminal una vez completada la instalación de Identity Synchronization para Windows.

6485333

En los sistemas Windows, no se han internacionalizado los programas de instalación y desinstalación.

6486505

En Windows, Identity Synchronization para Windows sólo admite las configuraciones regionales inglesa y japonesa.

6492125

El contenido de la ayuda en pantalla de Identity Synchronization para Windows muestra cuadros en lugar de caracteres multibyte en las configuraciones regionales CCK.

6501874

La sincronización de bloqueo de cuenta entre Directory Server y Active Directory presenta errores cuando el modo de compatibilidad de contraseña de Directory Server, pwd-compat-mode, se ha establecido en DS6-migration-mode o DS6-mode.

6501886

Se ha detectado que, al cambiar la contraseña del administrador de dominio de Active Directory, la consola de Identity Synchronization para Windows muestra una advertencia. En esta advertencia, se indica Invalid credentials for Host-nombrehost .nombredominio (Credenciales de host no validas-nombre de host.nombre de dominio), incluso aunque la contraseña utilizada sea válida.

6529349

En Solaris SPARC, es posible que Identity Synchronization para Windows no se desinstale debido a la ausencia del archivo /usr/share/lib/mps//jss4.jar. Este problema sólo se produce durante la instalación del producto cuando el programa de instalación detecta una instancia del paquete SUNWjss que ya se encuentra instalada y no la actualiza.

Para solucionar este problema, al instalar el producto, agregue /usr/share/lib/mps/secv1/jss4.jar a la ruta de clase de Java.

$JAVA_EXEC -Djava.library.path=./lib \ -classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\ ${SUNWjss}/usr/share/lib/mps/jss4.jar:\ ${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\ ./lib/ldap.jar:./lib/webstart.jar:\ ${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\ ./resources:./locale/resources:./lib/common.jar:\ ./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \ -Djava.util.logging.config.file=./resources/Log.properties \ -Djava.util.logging.config.file=../resources/Log.properties \ -Dcom.sun.directory.wps.logging.redirectStderr=false \ -Dcom.sun.directory.wps.logging.redirectStdout=false \ uninstall_ISW_Installer $1

6544353

Identity Synchronization para Windows no admite la solicitud para forzar la introducción de una nueva contraseña en el primer inicio de sesión realizada por un administrador al restablecer la contraseña en un sistema operativo Windows.

6572575

Para que la sincronización de grupos se realice satisfactoriamente durante la operación resync, el usuario y el grupo deben residir en el mismo nivel del ámbito de sincronización. De lo contrario, se mostrará un error.

6594767

En los equipos que ejecutan Microsoft Windows con un controlador de dominio instalado, la autenticación presenta errores al crear un nuevo servidor o registrar un servidor existente con la consola web. Para solucionar este problema, especifique el Id. de usuario, junto con el nombre de dominio del controlador de dominio.

6691600

La vinculación de usuarios de Directory Server a Active Directory o de Active Directory a Directory Server presenta errores si las entradas Directory Server contienen una clase de objeto auxiliar.

Para solucionar este problema agregue todas las clases de objetos auxiliares de la clase de objeto auxiliar a la consola de Identity Synchronization para Windows.

6709099

El subcomando idsync dspluginconfig no puede configurar el complemento en el nuevo origen de Directory Server. Si se utiliza idsync dspluginconfig en el modo de desinstalación, se suprime el valor SUBC del servidor de configuración activo de Identity Synchronization para Windows.

6721443

Si se ha habilitado el registro de depuración, el conector se cerrará de forma inesperada y se mostrará la excepción NullPointerException & ArrayIndexOutOfBoundsException .

Para solucionar este problema, inhabilite el registro de depuración.

6725352

Al obtener el valor booleano sintético de la tarea externa del controlador, el conector se cerrará de forma inesperada.

6728359

La sincronización de grupos entre Directory Server y Active Directory sólo se realizará parcialmente si el número de miembros es superior a 1.000. Durante la operación de sincronización de grupos, sólo se sincronizan los primeros 1.000 miembros y se descartan el resto.

6728372

La sincronización de grupos entre Directory Server y Active Directory presentará errores si las entradas de usuarios que pertenecen a un grupo no están presentes en el nivel base de sincronización.

Por ejemplo, si la base de sincronización es ou=employees,dc=example,dc=com, el dn de usuario debe ser uid=user-1,ou=employees,dc=example,dc=com . La sincronización de grupos presentará errores si el dn de usuario presenta el formato: uid=user-1,ou=sales,ou=employees,dc=example,dc=com. En este ejemplo, el contenedor ou=sales entre el usuario y la base de sincronización provoca errores en la sincronización de grupos.

6740714

La caché de objetos rechaza los cambios solicitados en un grupo con 1.500 miembros o más.

6740715

La operación de resincronización presenta errores en las entradas de grupos si detecta un valor de miembro RDN incorrecto.

6744089

La conversión de miembros entre Directory Server y Active Directory presentará errores si los cambios de miembros no se incluyen primero en el registro de cambios retroactivos.

6749286

Al sincronizar un grupo estático de gran tamaño, el conector de Directory Server incluye de forma incorrecta las entradas del registro de depuración en el registro de auditoría.

6749294

Se agota el tiempo de espera de la conexión entre Active Directory y el conector de esta aplicación durante la sincronización de un grupo estático de gran tamaño, lo que provoca errores en la operación de sincronización.

6749923

La operación de resincronización entre Directory Server y Active Directory crea siempre el grupo de seguridad global de dominio, incluso aunque el tipo de grupo se haya establecido en distribución global de dominio.

6758690

La sincronización de atributo con valores vacíos no se realizará. Esto se debe a que Active Directory no acepta valores vacíos, mientras que el servidor LDAP sí los acepta.

6762863

En una configuración regional distinta a la inglesa, el flujo de grupos entre Directory Server y Active Directory siempre se muestra como seguridad global de dominio, independientemente de la configuración de flujo de grupos establecida.

6773492

El conector de Identity Synchronization para Windows se reinicia varias veces cuando no puede analizar correctamente la entrada del registro de cambios retroactivos.

6793036

La sincronización de grupos de Active Directory y Directory Server presentará errores si la raíz del DIT se ha establecido como raíz de sincronización.

6796659

idsync resync deja de responder cuando se ha habilitado la sincronización de grupos y la base de sincronización se encuentra en un nivel alto del DIT.

6854004

Si se utilizan entradas de RCL, es posible que el conector de Directory Server deje de responder.

6862596

Después de aplicar el parche 125359-08, la consola de administración de Identity Synchronization para Windows no funciona en la forma prevista.

6862663

Si se instala el parche 119214-19 antes que el componente central de Identity Synchronization para Windows, el comando dsadm dejará de funcionar.