Sun Directory Server Enterprise Edition 7.0 发行说明

Identity Synchronization for Windows 中的已知问题和限制

本部分列出了发行时的已知问题和限制。

Identity Synchronization for Windows 限制

本部分列出了产品限制。限制并不总是与变更请求号相关联。

Identity Synchronization for Windows 要求成功安装 sun-sasl-2.19-4.i386.rpm。

在 Linux 上，请先确保您的系统中已安装 sun-sasl-2.19-4.i386.rpm 软件包，再安装 Identity Synchronization for Windows。否则将无法安装 Identity Synchronization for Windows。您可以从 JES 5 或更高版本的共享组件中获得 SASL 软件包。

请勿手动更改文件权限。

在某些情况下，为已安装的 Directory Server Enterprise Edition 产品文件更改文件权限可能会使该软件无法正常运行。

要消除此限制，请以具有相应用户和组权限的用户身份安装产品。

Identity Synchronization for Windows 核心服务没有故障转移功能。

如果您释放安装 Identity Synchronization for Windows 核心服务的系统，则需要再次进行安装。Identity Synchronization for Windows 核心服务没有故障转移功能。

以 LDIF 格式备份 ou=services（Identity Synchronization for Windows DIT 的配置分支），并在重新安装 Identity Synchronization for Windows 时使用此信息。

Microsoft Windows 2003 SP1 上验证行为的更改。

您安装 Windows 2003 SP1 时，默认情况下用户可以有一小时的时间使用旧密码访问其帐户。

因此，用户在 Active Directory 上更改其密码时，按需同步属性 dspswvalidate 被设置为 true，因此可以使用旧密码进行目录服务器验证。此时，在目录服务器上同步的密码是先前的旧密码，而不是当前的 Active Directory 密码。

有关如何关闭此功能的详细信息，请参见 Microsoft Windows 支持文档。

先删除 serverroot.conf，再删除管理服务器

要卸载管理服务器，请先删除 /etc/mps/admin/v5.2/shared/config/serverroot.conf，再删除管理服务器软件包。

在 CLASSPATH 中提及 admin jar 路径

CLASSPATH 应包含 admin jar 的位置，否则重新同步过程中会显示 noClassDefFound 错误。

配置 PSO 密码策略设置以匹配 Directory Server Enterprise Edition

Active Directory 2003 及更早版本使用全局策略对象 (Global Policy Objects, GPO)，该对象是全局性和域范围的。因此，密码策略和帐户锁定设置本质上是全局性的。但是，自 Active Directory 2008（或 2008 R2）起，域级别、细化的密码设置对象 (Password Setting Objects, PSO) 可以应用于单个用户或组。Identity Synchronization for Windows 要求 Active Directory 和 Directory Server Enterprise Edition 之间的密码策略和帐户锁定设置一致。请确保为 PSO 定义的帐户锁定设置与特定用户或组的 Directory Server Enterprise Edition 帐户锁定策略相匹配。确切地说，请确保以下 PSO 属性匹配 Directory Server Enterprise Edition 中的设置：

msDS-LockoutThreshold: 指定锁定用户帐户前允许的密码尝试失败次数
msDS-LockoutDuration: 指定密码尝试失败次数过多后帐户会锁定多长时间

如果 Active Directory 设置为返回引用，则按需同步可能需要较长时间，并返回 UNWILLING TO PERFORM 错误消息。解决方法是使用 ldapmodify 命令将以下更改应用至运行 Identity Synchronization for Windows 插件的目录服务器。

dn: cn=config,cn=pwsync,cn=config
changetype: modify
add: followreferrals
followreferrals: FALSE

不支持只读域控制器

Identity Synchronization for Windows 要求可写域控制器以便同步用户创建和修改。它不支持只读控制器。

如果未按照建议指定属性映射、创建表达式和 RDN 属性，则组同步会失败。

您必须如下所述设置属性映射、创建表达式和 RDN 属性：

必须如下所述定义 Sun Directory Server 和 Active Directory 之间的属性映射：
DS < ----- > AD cn cn uid samaccountname

必须如下所述定义创建表达式：

for DS: uid=%uid%,<sync_base>
for AD: cn=%cn%,<sync_base>

对于 Sun Directory Server 用户，属于已同步组的 RDN 属性必须是 uid。

未定义同时更新属性的行为。

在组同步中，未定义对条目属性的同时修改。

系统或应用程序故障时执行数据恢复

硬件或应用程序故障后，您可能必须从某些已同步目录源中的备份来恢复数据。

但是，完成数据恢复后，您必须执行附加程序以确保同步可以继续正常进行。

连接器通常会保留已传播到消息队列的上次更改的相关信息。

此信息（称为连接器状态）用于确定连接器必须从其目录源中读取的后续更改。如果从备份恢复已同步目录源的数据库，那么连接器状态可能不再有效。

适用于 Active Directory 和 Windows NT 的基于 Windows 的连接器还会维护一个内部数据库。该数据库是已同步数据源的副本。该数据库用于确定连接的数据源中已发生的更改。从备份恢复连接的 Windows 源后，内部数据库不再有效。

通常，idsync resync 命令可以用于重新填充恢复的数据源。

注 –

再同步不能用于同步密码，但有一个例外情况。-i ALL_USERS 选项可以用于使目录服务器中的密码失效。这适用于再同步数据源是 Windows 的情况。SUL 列表还必须仅包含 Active Directory 系统。

但是，并非在任何情况下都适合使用 idsync resync 命令。

注意 –

请先确保同步已停止，再执行下面详细介绍的任何步骤。

双向同步

根据同步设置，将 idsync resync 命令与相应的修饰符设置下结合使用。将恢复的目录源用作 resync 操作的目标。

单向同步

如果恢复的数据源是同步目标，那么可以执行与双向同步相同的程序。

如果恢复的数据源是同步源，那么仍可以使用 idsync resync 重新填充恢复的目录源。您无需更改 Identity Synchronization for Windows 配置中的同步流设置。idsync resync 命令使您可以通过 -o Windows|Sun 选项设置单独的同步流（独立于配置的同步流）。

可以考虑将以下方案作为示例。

在目录服务器和 Active Directory 之间设置双向同步。

必须从备份恢复 Microsoft Active Directory 服务器的数据库。
在 Identity Synchronization for Windows 中，为 SUL AD 配置此 Active Directory 源。
在此 Active Directory 源和 Sun 目录服务器源之间设置对修改、创建和删除的双向同步。

执行单向同步的步骤

停止同步。
idsync stopsync -w - -q -

再同步 Active Directory 源。此外，再同步修改、创建和删除。
idsync resync -c -x -o Sun -l AD -w - -q -

重新启动同步。
idsync startsync -w - -q -

特定于目录源的恢复程序

以下程序与特定目录源相关。

Microsoft Active Directory

如果可以从备份恢复 Active Directory，那么请按照涉及双向或单向同步的部分中的程序操作。

但是，发生严重故障后，您可能必须使用其他域控制器。在这种情况下，请按照以下步骤更新 Active Directory 连接器的配置。

更改域控制器的步骤

启动 Identity Synchronization for Windows 管理控制台。

选择相应的 Active Directory 源。

单击“编辑控制器”，然后选择新的域控制器。

将选定的域控制器作为域的 NT PDC FSMO 角色所有者

保存该配置。

在运行 Active Directory 连接器的主机上停止 Identity Synchronization 服务。

删除 ServerRoot/isw-hostname/persist/ADP xxx 下除目录外的所有文件。此处的 xxx 是 Active Directory 连接器标识符的数字部分。

例如，如果 Active Directory 连接器标识符是 CNN100，则该值为 100。

在运行 Active Directory 连接器的主机上启动 Identity Synchronization 服务。

根据您的同步流，按照单向或双向同步部分中的步骤操作。

故障转移和目录服务器

严重故障可能影响追溯更改日志数据库、包含已同步用户的数据库或同时影响二者。

管理目录服务器故障转移的步骤

追溯更改日志数据库。

追溯更改日志数据库中可能已发生目录服务器连接器无法处理的更改。仅当备份包含某些未处理的更改时，恢复追溯更改日志数据库才有意义。比较 ServerRoot/isw-hostname/persist/ADP xxx/accessor.state 文件中的最新条目与备份中的上次 changenumber。如果 accessor.state 中的值大于或等于备份中的 changenumber，请勿恢复数据库，而要重新创建数据库。

重新创建追溯更改日志数据库后，请务必运行 idsync prepds。或者，在 Identity Synchronization for Windows 管理控制台的“Sun 目录源”窗口中单击“准备目录服务器”。

目录服务器连接器检测到已重新创建追溯更改日志数据库并记录一条警告消息。您可以忽略此消息，而不会有任何影响。

已同步的数据库。

如果没有任何备份可用于已同步的数据库，那么必须重新安装目录服务器连接器。

如果可以从备份恢复已同步的数据库，那么请按照单向或双向同步部分中的程序操作。

Identity Synchronization for Windows 6.0 的已知问题

本部分列出了已知问题。已知问题与变更请求号相关联。

4997513

在 Windows 2003 系统上，默认情况下设置了指示用户下次登录时必须更改其密码的标志。在 Windows 2000 系统上，默认情况下未设置该标志。

当您在设置了用户下次登录时必须更改密码标志的 Windows 2000 和 Windows 2003 系统上创建用户时，系统会在目录服务器上创建没有密码的用户。用户下次登录到 Active Directory 时，必须更改其密码。该更改使其目录服务器上的密码失效。该更改还强制那些用户下次向目录服务器验证时执行按需同步。

如果用户不更改其 Active Directory 上的密码，则无法向目录服务器验证。

5077227

尝试通过具有 Remote Administration 2.1 的 PC Anywhere 10 查看 Identity Synchronization for Windows 控制台时可能会出现问题。PC Anywhere 版本 9.2 则不会产生错误。如果问题仍然存在，请删除远程管理软件。或者，也可以使用 VNC。VNC 在显示 Identity Synchronization for Windows 控制台时尚未导致任何问题。

5097751

如果您在使用 FAT 32 系统格式的 Windows 系统上安装 Identity Synchronization for Windows，则没有可用的 ACL。此外，也没有为设置实施任何访问限制。要确保安全性，请仅使用 Windows NTFS 系统来安装 Identity Synchronization for Windows。

6251334

即使在更改 Active Directory 源后，也无法停止用户删除同步。因此，将已同步的用户列表映射到同一 Active Directory 源中的不同组织单元 (OU) 时，删除同步仍会继续。用户在目录服务器实例上显示为已删除。即使从没有 SUL 映射的 Active Directory 源中删除用户，该用户仍显示为已删除。

6254516

通过命令行对使用方配置目录服务器插件时，该插件不会为使用方创建新的子组件 ID。该插件配置不会为使用方创建新的 ID。

6288169

甚至在检查 accountlock 和 passwordRetryCount 之前，Identity Synchronization for Windows 的密码同步插件就会尝试为尚未同步的帐户绑定到 Active Directory。

要解决此问题，请在 LDAP 服务器上强制执行密码策略。此外，还要将 Access Manager 配置为对用户搜索使用以下过滤器：

(| ( !(passwordRetryCount=*) ) (passwordRetryCount <=2) )

但是，如果通过 LDAP 进行登录尝试的次数过多，此解决方法会引发找不到用户的错误。该解决方法不会阻止 Active Directory 帐户。

6331956

如果复制 o=NetscapeRoot，Identity Synchronization for Windows 控制台会无法启动。

6332183

如果添加行为先于删除行为从目录服务器流向 Active Directory，则 Identity Synchronization for Windows 可能会记录异常，指出用户已存在。在同步过程中，添加操作先于删除操作执行的情况下可能会出现竞争状态，从而导致 Active Directory 记录异常。

例如，如果将用户 dn: user1, ou=isw_data 添加到现有组 dn: DSGroup1,ou=isw_data，则从该组中删除该用户时，该组的 uniquemember 会被修改。如果将同一用户添加到具有相同 DN 的组中（对于 userdn: user1, ou=isw_data），则会执行添加操作。此时，Identity Synchronization for Windows 可能会记录异常，说明该用户已存在。

6332197

包含尚未创建的用户的用户信息的组在目录服务器上同步时，Identity Synchronization for Windows 会引发错误。

6335193

您可能尝试运行再同步命令来从目录服务器到 Active Directory 同步用户。如果将未同步的用户添加到未同步的组，则无法创建组实体。

要解决此问题，您应运行 resync 命令两次，以便同步正确进行。

6336471

Identity Synchronization for Windows 插件无法搜索已链接的后缀。因此，无法对目录服务器实例执行修改和绑定操作。

6337018

Identity Synchronization for Windows 应支持将 Identity Synchronization for Windows 配置导出为 XML 文件。

6339444

您可以使用“基 DN”窗格上的“浏览”按钮通过同步用户列表指定同步的范围。您指定范围时，不会检索子后缀。

要解决此问题，请添加 ACI 以允许通过匿名访问进行读取和搜索。

6379804

在 Windows 系统上将 Identity Synchronization for Windows 的核心组件升级到版本 1.1 SP1 的过程中，updateCore.bat 文件包含对管理服务器的硬编码错误引用。因此，升级进程无法成功完成。

要解决此问题，请在升级脚本中替换两个管理服务器的引用实例。

替换升级脚本中第 51 行和第 95 行的以下指令。按如下方式更改行。

net stop "Sun Java(TM) System Administration Server 5.2"

这些行应显示为：

net stop admin52-serv

进行指定的更改后，请重新运行升级脚本。

6386664

启用组同步功能时，Identity Synchronization for Windows 会在 Active Directory 和目录服务器之间同步用户和组信息。理想情况下，同步只应在从命令行发出 resync 命令后进行。

6388815

尝试同步嵌套组时，由于当前不支持此类同步，因此 Active Directory 连接器和目录服务器连接器会崩溃。

6388872

对于目录服务器到 Active Directory 的 Windows 创建表达式，流 cn=%cn% 对用户和组都适用。对于所有其他组合，在同步过程中 Identity Synchronization for Windows 都会显示错误。

6444341

Identity Synchronization for Windows 卸载程序未本地化。无法将 WPSyncResources_X.properties 文件安装到 /opt/sun/isw/locale/resources 目录中。

要解决此问题，请从 installer/locale/resources 目录中手动复制缺少的 WPSyncResources_ X.properties 文件。

6444878

先安装和设置 Java Development Kit 版本 1.5.0_06，再运行管理服务器。

6444896

执行基于文本的 Identity Synchronization for Windows 安装时，将管理员密码留空并按回车键会导致退出安装程序。

6452425

如果您在装有 SUNWtls 软件包版本 3.11.0 的 Solaris 系统上安装 Identity Synchronization for Windows，管理服务器可能无法启动。要解决此问题，请先卸载 SUNWtls 软件包，再安装 Identity Synchronization for Windows。

6452538

在 Windows 平台上，Identity Synchronization for Windows 使用的 Message Queue 3.5 要求 PATH 值的长度小于 1 KB。更长的值会被截断。

6472296

在 Windows 系统上的日语语言环境下进行安装后，Identity Synchronization for Windows 用户界面未完全本地化。

要解决此问题，请先在 PATH 环境变量中包含 unzip.exe，再开始安装。

6477567

在 Directory Server Enterprise Edition 7.0 中，Identity Synchronization for Windows 的目录服务器插件安装与目录服务器安装一起进行。Identity Synchronization for Windows 安装程序不会安装目录服务器插件。Identity Synchronization for Windows 仅配置该插件。

在此版本的 Identity Synchronization for Windows 中，基于文本的安装程序不会在安装过程中提示您对 Identity Synchronization for Windows 的目录服务器插件进行配置。解决方法是完成 Identity Synchronization for Windows 安装后，在终端窗口中运行 Idsync dspluginconfig 命令。

6485333

Windows 系统上的安装程序和卸载程序未国际化。

6486505

在 Windows 上，Identity Synchronization for Windows 仅支持英语和日语语言环境。

6492125

在 CCK 语言环境下，Identity Synchronization for Windows 联机帮助内容显示方框而不是多字节字符。

6501874

将目录服务器密码兼容模式 pwd-compat-mode 设置为 DS6-migration-mode 或 DS6-mode 时，无法执行从目录服务器到 Active Directory 的帐户锁定同步。

6501886

Active Directory 域管理员密码更改时，Identity Synchronization for Windows 控制台显示警告。显示的警告是主机-hostname .domainnname 的证书无效，即使在使用的密码有效时也是如此。

6529349

在 Solaris SPARC 上，Identity Synchronization for Windows 可能会由于缺少 /usr/share/lib/mps//jss4.jar 文件而无法卸载。仅在产品的安装过程中，安装程序检测到已安装的 SUNWjss 软件包实例但无法对其进行更新时会发生该情况。

解决方法是在安装产品时，在 Java 类路径中添加 /usr/share/lib/mps/secv1/jss4.jar。

$JAVA_EXEC -Djava.library.path=./lib \
-classpath "${SUNWjss}/usr/share/lib/mps/secv1/jss4.jar:\
${SUNWjss}/usr/share/lib/mps/jss4.jar:\
${SUNWxrcsj}/sfw/share/lib/xerces-200.jar:./lib/installsdk.jar:\
./lib/ldap.jar:./lib/webstart.jar:\
${SUNWiquc}/usr/share/lib/jms.jar:.:./lib/install.jar:\
./resources:./locale/resources:./lib/common.jar:\
./lib/registry.jar:./lib/ldapjdk.jar:./installer/registry/resources" \
-Djava.util.logging.config.file=./resources/Log.properties \
-Djava.util.logging.config.file=../resources/Log.properties \
-Dcom.sun.directory.wps.logging.redirectStderr=false \
-Dcom.sun.directory.wps.logging.redirectStdout=false \
uninstall_ISW_Installer $1

6544353

在 Windows 操作系统上重新设置密码时，Identity Synchronization for Windows 不支持管理员设置的第一次登录时强制更改新密码。

6572575

在 resync 期间，为了让组同步正常运行，用户和组都应驻留在同步范围中的同一级别。否则它会显示错误。

6594767

在装有域控制器并运行 Microsoft Windows 的计算机上，通过 Webconsole 创建新服务器或注册现有服务器时验证失败。解决方法是指定用户 ID 和域控制器的域名。

6691600

如果任何目录服务器条目包含辅助对象类，则无法将用户从目录服务器链接到 Active Directory，或从 Active Directory 链接到目录服务器。

要解决此问题，请在 Identity Synchronization for Windows 控制台的辅助对象类中添加所有辅助对象类。

6709099

idsync dspluginconfig 子命令无法在新目录服务器源上配置插件。如果在卸载模式下使用 idsync dspluginconfig，它会删除活动 Identity Synchronization for Windows 配置服务器的 SUBC 值。

6721443

如果启用调试日志，连接器会异常断开并显示 NullPointerException & ArrayIndexOutOfBoundsException 异常。

要解决此问题，请禁用调试日志记录。

6725352

从 Controller OutTask 获得合成布尔值时，连接器异常断开

6728359

如果成员数量大于 1000，则从目录服务器到 Active Directory 的组同步会部分失败。组同步操作仅会同步前 1000 位成员而放弃其他成员。

6728372

如果属于某个组的用户条目未显示在同步基础级别，则从目录服务器到 Active Directory 的组同步会失败。

例如，如果您的同步基础是 ou=employees,dc=example,dc=com，那么用户 dn 必须是 uid=user-1,ou=employees,dc=example,dc=com。如果用户 dn 的格式是 uid=user-1,ou=sales,ou=employees,dc=example,dc=com，则组同步会失败。在此示例中，用户和同步基础之间的 ou=sales 容器导致组同步失败。

6740714

对象高速缓存拒绝对包含 1500 位或更多成员的组请求的更改。

6740715

如果再同步操作遇到错误的 RDN 成员值，则对组条目的再同步操作会失败。

6744089

如果没有先在追溯更改日志中记录成员更改，则从目录服务器到 Active Directory 的成员转换会失败。

6749286

同步大型静态组时，目录服务器连接器错误地将调试日志条目放入审计日志中。

6749294

大型静态组同步过程中，Active Directory 和 Active Directory 连接器之间连接超时，从而导致同步操作失败。

6749923

即使组类型配置为域全局分发，从目录服务器到 Active Directory 的再同步操作也始终创建域全局安全性组。

6758690

无法同步包含空值的属性。因为 Active Directory 不接受空值，而 LDAP 服务器接受空值，所以发生这种情况。

6762863

在非英语语言环境中，无论组流配置如何，从目录服务器到 Active Directory 的组流始终显示为域全局安全性。

6773492

如果 Identity Synchronization for Windows 连接器无法成功解析追溯更改日志条目，则它会反复重新启动。

6793036

如果 DIT 根设置为同步根，则从 Active Directory 到目录服务器的组同步会失败。

6796659

在 DIT 中启用组同步并且同步基础为高时，idsync resync 会停止响应。

6854004

处理 RCL 条目时，目录服务器连接器可能停止响应。

6862596

应用 125359-08 修补程序后，Identity Synchronization for Windows 管理控制台未按预期运行。

6862663

如果先安装 119214-19 修补程序再安装 Identity Synchronization for Windows 核心，则 dsadm 命令会停止运行。