Identity Synchronization for Windows 6.0 の既知の問題点

この節では、既知の問題点の一覧を示します。既知の問題点には変更要求 ID が関連付けられています。

4997513

Windows 2003 システムでは、ユーザーが次回ログイン時にパスワードを変更しなければならない設定がデフォルトでオンになっています。Windows 2000 システムでは、この設定はデフォルトではオフです。

Windows 2000 および 2003 システムで「ユーザーは次回ログオン時にパスワードの変更が必要」設定をオンにしてユーザーを作成すると、Directory Server 上ではパスワードなしのユーザーが作成されます。ユーザーが次回 Active Directory にログインするとき、ユーザーはパスワードを変更する必要があります。この変更により、そのユーザーの Directory Server 上でのパスワードは無効化されます。またこの変更により、そのユーザーが次回 Directory Server への認証を行うときに、オンデマンドでの同期が強制的に必要になります。

Active Directory 上でパスワードを変更するまでの間、ユーザーは Directory Server への認証を行うことはできません。

5077227

Remote Administration 2.1 を含む pcAnywhere 10 で Identity Synchronization for Windows コンソールを表示しようとすると、問題が発生する可能性があります。pcAnywhere version 9.2 では、同様の問題の発生は確認されていません。問題が解決しない場合は、リモート管理ソフトウェアを削除してください。代替としては VNC を使用できます。VNC では、Identity Synchronization for Windows コンソールの表示に関する問題は確認されていません。

5097751

FAT 32 でフォーマットされたファイルシステム上の Windows システムに Identity Synchronization for Windows をインストールする場合、ACL は利用できません。また、セットアップ時にアクセス制限が施行されません。セキュリティーを確保するために、Identity Synchronization for Windows のインストールは必ず、NTFS ファイルシステム上の Windows に対して行うようにしてください。

6251334

Active Directory ソースの変更後であっても、ユーザー削除の同期を停止できません。したがって、同期対象ユーザーリストが同じ Active Directory ソース内の別の組織単位 (OU) にマップされる場合、削除の同期は継続します。ユーザーは Directory Server インスタンス上では削除されたように見えます。SUL マッピングを持たない Active Directory ソースからユーザーが削除される場合でも、ユーザーは削除されたように見えます。

6254516

コンシューマ上で Directory Server プラグインをコマンド行を使用して設定するとき、プラグインはコンシューマに対して新しいサブコンポーネント ID を生成しません。プラグイン設定はコンシューマに対して新しい ID を生成しません。

6288169

Identity Synchronization for Windows 用のパスワード同期プラグインは、accountlock および passwordRetryCount をチェックする前であっても、未同期のアカウントについて Active Directory へのバインドを試みます。

この問題点を解決するには、LDAP サーバー上でパスワードポリシーを施行します。また、ユーザー検索時に次のフィルタを使用するように Access Manager を設定します。

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

ただし、この回避方法では、LDAP 経由でのログイン試行数が多すぎるときに、ユーザーが見つからないというエラーが返されます。この回避方法では、Active Directory アカウントをブロックしません。

6331956

o=NetscapeRoot がレプリケートされる場合に、Identity Synchronization for Windows コンソールが起動に失敗します。

6332183

削除が可能になる前に追加操作のフローが Directory Server から Active Directory に移ると、Identity Synchronization for Windows は、ユーザーがすでに存在するという例外をログに出力する可能性があります。同期中に削除操作よりも先に追加操作が実行される競合状況が発生する可能性があり、結果として、Active Directory が例外をログに出力します。

たとえば、ユーザー dn: user1, ou=isw_data が既存のグループ dn: DSGroup1,ou=isw_data に追加された場合、ユーザーがグループから削除されると、グループの uniquemember が変更されます。userdn: user1, ou=isw_data に対して、同じ DN を持つグループに同じユーザーが追加されると追加操作が行われます。この時点で、Identity Synchronization for Windows はユーザーがすでに存在するという例外をログに出力する場合があります。

6332197

ユーザー情報がまだ作成されていないグループを Directory Server 上で同期すると、Identity Synchronization for Windows はエラーを返します。

6335193

ユーザーを Directory Server から Active Directory に同期する目的で、再同期コマンドの実行を試みる場合があります。未同期のユーザーが未同期グループに追加されると、グループエンティティーの作成に失敗します。

この問題を解決するには、同期が正しく行われるように、resync コマンドを 2 回実行するようにしてください。

6336471

Identity Synchronization for Windows プラグインは、連鎖されたサフィックスを通じた検索を行うことができません。結果として、Directory Server インスタンス上で変更およびバインド操作を実行できません。

6337018

Identity Synchronization for Windows で、XML ファイルへの Identity Synchronization for Windows 設定のエクスポートがサポートされるべきです。

6339444

同期ユーザーリストで「基本 DN」ペインの「参照」ボタンを使用して、同期のスコープを指定できます。スコープを指定するとき、サブサフィックスは取得されません。

この問題点に対処するには、読み取りおよび検索に対して匿名アクセスを許可する ACI を追加します。

6379804

Windows システム上で Identity Synchronization for Windows のコアコンポーネントを Version 1.1 SP1 にアップグレードする際に updateCore.bat ファイルで、管理サーバーへの参照がハードコードされている部分に誤りがあります。その結果、アップグレード処理の一部が正常に完了しません。

この問題を解決するには、アップグレードスクリプトの管理サーバーを参照している部分 (2 個所) を置き換えます。

アップグレードスクリプトの 51 行目と 95 行目の次の命令を置き換えます。変更内容を次に示します。

net stop "Sun Java(TM) System Administration Server 5.2"

この行を次のように変更します。

net stop admin52-serv

指示どおりに変更を行なったあとで、アップグレードスクリプトを再実行してください。

6386664

Identity Synchronization for Windows は、グループ同期機能を有効にした時点で Active Directory と Directory Server の間でユーザーおよびグループの情報を同期します。コマンド行から resync コマンドが発行されてからはじめて同期が発生するのが理想的な動作です。

6388815

入れ子のグループの同期は現時点でサポートされていないため、そのような同期を実行しようとすると Active Directory コネクタおよび Directory Server コネクタがクラッシュします。

6388872

Directory Server で、Active Directory に対する Windows の作成式について、フロー cn=%cn% はユーザーとグループの両方に対して機能します。それ以外のすべての組み合わせに対し、Identity Synchronization for Windows では同期中にエラーが発生します。

6444341

Identity Synchronization for Windows のアンインストールプログラムがローカライズされていません。WPSyncResources_X.properties ファイルの /opt/sun/isw/locale/resources ディレクトリへのインストールが失敗します。

この問題点に対処するには、不足している WPSyncResources_ X.properties ファイルを、installer/locale/resources ディレクトリから手動でコピーします。

6444878

Java Development Kit version 1.5.0_06 のインストールと設定は、管理サーバーを実行する前に行なってください。

6444896

Identity Synchronization for Windows のテキストベースインストールの実行時に、管理パスワードを空にしたまま Enter キーを押すと、インストールプログラムが終了します。

6452425

SUNWtls パッケージの version 3.11.0 がインストールされている Solaris システムに Identity Synchronization for Windows をインストールすると、管理サーバーが起動しない場合があります。この問題を解決するには、Identity Synchronization for Windows をインストールする前に SUNWtls パッケージをアンインストールします。

6452538

Windows プラットフォームで、Identity Synchronization for Windows によって使用される Message Queue 3.5 では、PATH 値の長さが 1K バイト未満である必要があります。これよりも長い値は切り捨てられます。

6472296

Windows システムの日本語ロケールにインストールしたあと、Identity Synchronization for Windows の一部のユーザーインタフェースがローカライズされずに表示されます。

この問題点に対処するには、インストールを開始する前に、PATH 環境変数に unzip.exe を追加します。

6477567

Directory Server Enterprise Edition 7.0 で、Identity Synchronization for Windows 用の Directory Server プラグインは Directory Server インストールとともにインストールされます。Identity Synchronization for Windows インストーラでは、Directory Server プラグインはインストールされません。代わりに、Identity Synchronization for Windows はプラグインの設定のみを行います。

このリリースの Identity Synchronization for Windows では、テキストベースのインストーラによるインストール処理中に、Identity Synchronization for Windows 用 Directory Server プラグインの設定が要求されることはありません。回避方法として、Identity Synchronization for Windows インストールの完了後に、端末ウィンドウから Idsync dspluginconfig コマンドを実行します。

6485333

Windows システムで、インストーラおよびアンインストーラが国際化されていません。

6486505

Windows では、Identity Synchronization for Windows は英語および日本語ロケールのみをサポートしています。

6492125

中国語および韓国語ロケールでは、Identity Synchronization for Windows のオンラインヘルプの複数バイト文字が四角形で表示されます。

6501874

Directory Server パスワード互換モード (pwd-compat-mode) が DS6-migration-mode または DS6-mode に設定されている場合、Directory Server から Active Directory へのアカウントのロックアウトの同期が失敗します。

6501886

Active Directory ドメインの管理者パスワードを変更した場合、Identity Synchronization for Windows コンソールに警告が表示される現象が確認されています。使用しているパスワードが有効な場合でも、表示される警告は「ホストのクレデンシャルが無効です: hostname .domainnname」となります。

6529349

Solaris SPARC では、/usr/share/lib/mps//jss4.jar ファイルが存在しないと Identity Synchronization for Windows がアンインストールされない可能性があります。これは、製品インストールの実行時に、インストーラがすでにインストールされている SUNWjss パッケージのインスタンスを検出し、これを更新しない場合にのみ発生します。

この問題を回避するには、製品のインストール時に、Java クラスパスに /usr/share/lib/mps/secv1/jss4.jar を追加します。

$JAVA_EXEC -Djava.library.path=./lib \ -classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\ ${SUNWjss}/usr/share/lib/mps/jss4.jar:\ ${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\ ./lib/ldap.jar:./lib/webstart.jar:\ ${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\ ./resources:./locale/resources:./lib/common.jar:\ ./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \ -Djava.util.logging.config.file=./resources/Log.properties \ -Djava.util.logging.config.file=../resources/Log.properties \ -Dcom.sun.directory.wps.logging.redirectStderr=false \ -Dcom.sun.directory.wps.logging.redirectStdout=false \ uninstall_ISW_Installer $1

6544353

Identity Synchronization for Windows は、Windows オペレーティングシステム上でパスワードのリセット中に、管理者からの最初のログイン要求時に新規パスワードの強制をサポートしません。

6572575

resync 中にグループ同期を正常に動作させるには、ユーザーおよびグループの両方が同期のスコープの同一レベルに存在しなければなりません。存在しない場合、エラーが表示されます。

6594767

ドメインコントローラがインストールされた Microsoft Windows を実行しているマシンで、新しいサーバーの作成または既存のサーバーの Web コンソールへの登録中に認証に失敗します。回避方法として、ドメインコントローラのドメイン名を持つユーザー ID を指定します。

6691600

Directory Server エントリのいずれかに補助オブジェクトクラスが含まれている場合、ユーザーを Directory Server から Active Directory に同期したり、Active Directory から Directory Server にリンクしたりできません。

この問題を解決するには、Identity Synchronization for Windows コンソールの補助オブジェクトクラスに、すべての補助オブジェクトクラスを追加します。

6709099

idsync dspluginconfig サブコマンドが、新しい Directory Server ソース上のプラグインの設定に失敗します。idsync dspluginconfig がアンインストールモードで使用されている場合、アクティブな Identity Synchronization for Windows 設定サーバーの SUBC 値が削除されます。

6721443

デバッグログが有効になっている場合、コネクタが予期せず終了し、「 NullPointerException & ArrayIndexOutOfBoundsException 」例外が表示されます。

この問題を解決するには、デバッグログを無効にします。

6725352

Controller OutTask から合成ブール値を取得中に、コネクタが予期せず終了します。

6728359

メンバー数が 1000 を超えている場合、Directory Server から Active Directory へのグループ同期が部分的に失敗します。グループ同期の操作では、最初の 1000 メンバーのみが同期され、残りは無視されます。

6728372

グループに属するユーザーエントリが同期ベースレベルに存在しない場合、Directory Server から Active Directory へのグループ同期が失敗します。

たとえば、同期ベースが ou=employees,dc=example,dc=com の場合、ユーザー dn は uid=user-1,ou=employees,dc=example,dc=com である必要があります。ユーザー dn が uid=user-1,ou=sales,ou=employees,dc=example,dc=com の形式である場合、グループ同期が失敗します。たとえば、ユーザーと同期ベースの間の ou=sales コンテナが原因で、グループ同期が失敗します。

6740714

オブジェクトキャッシュは、1500 以上のメンバーを含むグループに対して要求された変更を拒否します。

6740715

誤った RDN メンバー値があった場合に、グループエントリに対する再同期操作が失敗します。

6744089

メンバー変更が先に旧バージョンの変更履歴ログに記録されていない場合、Directory Server から Active Directory へのメンバー変換が失敗します。

6749286

大規模な静的グループの同F期中、Directory Server コネクタがデバッグログエントリを監査ログ内に誤って記録します。

6749294

Active Directory および Active Directory コネクタの間の接続が、大きなスタティックグループの同期中にタイムアウトし、これが原因で同期操作が失敗します。

6749923

グループの種類がドメイングローバル配布として設定されている場合でも、Directory Server から Active Direcotry への再同期操作によって、ドメイングローバルセキュリティーグループが常に作成されます。

6758690

空の値を持つ属性の同期が失敗します。これは、LDAP サーバーが空の値を受け入れるのに対し、Active Directory が空の値を受け入れないために発生します。

6762863

英語以外のロケールで、グループフローの設定にかかわらず、Directory Server から Active Directory へのグループフローが常にドメイングローバルセキュリティーとして表示されます。

6773492

旧バージョン形式の更新履歴ログエントリを正常に解析できない場合、Identity Synchronization for Windows コネクタが繰り返し再起動します。

6793036

DIT ルートが同期ルートとして設定されている場合、Active Directory から Directory Server へのグループ同期が失敗します。

6796659

グループ同期が有効になっていて、DIT で同期ベースが高くなっている場合、idsync resync が反応しなくなります。

6854004

RCL エントリを処理するとき、Directory Server コネクタが反応しなくなる場合があります。

6862596

125359-08 パッチを適用すると、Identity Synchronization for Windows 管理コンソールが期待どおりに動作しません。

6862663

Identity Synchronization for Windows コアより先に 119214-19 パッチをインストールした場合、dsadm コマンドが動作しなくなります。