目录服务器 中的已知问题和限制

本部分列出了发行时的已知问题和限制。

目录服务器 7.0 限制

请勿手动更改文件权限。

在某些情况下，为已安装的 Directory Server Enterprise Edition 产品文件更改文件权限可能会使该软件无法正常运行。仅可以按照产品文档中的说明或 Sun 支持人员的说明更改文件权限。

要消除此限制，请以拥有相应用户和组权限的用户身份安装产品和创建服务器实例。

请勿复制 cn=changelog 后缀。

尽管，没有任何设置阻止您为 cn=changelog 后缀设置复制，但执行此操作会干扰复制。请勿复制 cn=changelog 后缀。cn=changelog 后缀由 retro 更改日志插件创建。

LD_LIBRARY_PATH 包含 /usr/lib 时会加载错误的 SASL 库。

LD_LIBRARY_PATH 包含 /usr/lib 时，系统会使用错误的 SASL 库，从而导致 dsadm 命令在安装完成后失败。

使用 LDAP 替换操作更改 cn=config 属性。

对 cn=config 进行的 LDAP 修改操作仅可使用替换子操作。对添加或删除属性操作的任何尝试都将被拒绝，并将显示 DSA 不会执行，错误 53。目录服务器 5 接受添加或删除属性或属性值的操作时，更新会应用到 dse.ldif 文件且不验证任何值，并且 DSA 内部状态直到 DSA 停止然后启动后才会更新。

---

注 –

cn=config 配置界面已过时。在可行的位置改为使用 dsconf 命令。

---

要解决此限制，可使用 LDAP 修改替换子操作替换添加或删除子操作。在功能上不会有任何损失。此外，DSA 配置的状态在更改后更易预测。

在 Windows 系统中，目录服务器 不允许默认情况下使用 Start TLS。

此问题仅会影响 Windows 系统中的服务器实例。此问题由于在使用 Start TLS 时会影响 Windows 系统的性能所致。

要解决此问题，请考虑将 -P 选项和 dsconf 命令配合使用，以使用 SSL 端口直接进行连接。另外，如果您的网络连接已被保护，请考虑将 -e 选项和 dsconf 命令配合使用。该选项使您可以连接到标准端口而无需请求安全连接。

复制更新矢量可能引用已删除的服务器。

从复制拓扑中删除复制的 目录服务器 实例后，复制更新矢量仍会继续引用该实例。结果是，您可能遇到对已不再存在的实例的引用。

Common Agent Container 在引导时不能启动。

要在从本地软件包进行安装时解决此问题，请使用 cacaoadm enable 命令作为 root。

要在 Windows 中解决此问题，请从 Common Agent Container 服务的属性中选择“登录”，输入运行该服务的用户的密码，然后按“应用”。如果您尚未进行此设置，将收到消息指明已为帐户用户名授予“作为服务登录”的权限。

max-thread-per-connection-count 在 Windows 系统中没有用处。

目录服务器 配置属性 max-thread-per-connection-count 和 ds-polling-thread-count 不适用于 Windows 系统。

控制台不允许管理员登录到 Windows XP

控制台不允许管理员登录到运行 Windows Xp 的服务器。

此问题的解决方法是，必须禁用 Guest 帐户，且 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest 必须设置为 0。

动态更改索引配置

如果更改属性的索引配置，则系统会将包括属性作为过滤器的所有搜索视为未建立索引。要确保包括属性的搜索正确被处理，请在每次更改属性的索引配置后，使用 dsadm reindex 或 dsconf reindex 命令重新生成现有索引。有关详细信息，请参阅《Sun Directory Server Enterprise Edition 7.0 Administration Guide》中的第 12  章 “Directory Server Indexing”。

未在 PTA 服务器上强制执行连接数和操作数

未在 PTA 服务器上强制执行最大连接数 (maxconns) 和最大操作数 (maxops)。

在与 ZIP 分发包一起安装时，目录服务器 使用端口 21162 作为 Common Agent Framework (CACAO) 的默认端口。

Common Agent Framework (CACAO) 的默认端口为 11162。与本地分发一起安装时，目录服务器 使用此默认端口。但是，与 ZIP 分发包一起安装时，目录服务器 默认使用端口 21162。请确保在通过 DSCC 创建或注册服务器实例时指定正确的端口号。

7.0 中的 目录服务器 已知问题

本节列出了在发布 目录服务器 7.0 时发现的已知问题。

2113177

在执行导出、备份、存储或建立索引期间停止服务器时，目录服务器 出现故障。

2129151

正在运行 stop-slapd 命令时，目录服务器 会挂起。

2133169

从 LDIF 导入条目时，目录服务器 不能生成 createTimeStamp 和 modifyTimeStamp 属性。

LDIF 导入为提高速度而进行了优化。导入过程不会生成这些属性。要解决此问题，请添加而不是导入条目。另外，预处理 LDIF 以在导入前添加属性。

4979319

一些 目录服务器 错误引用 Database Errors Guide，其并不存在。如果您无法理解未记录的严重错误消息的含义，请与 Sun 支持部门联系。

6401484

对目标后缀使用 SSL 客户端验证时，dsconf accord-repl-agmt 命令无法使复制协议的验证属性一致。

要解决此问题，请执行以下步骤将供应者证书存储在使用方的配置中。显示的命令示例基于同一主机的两个实例。

1. 将证书导出到文件。

   以下示例显示了符合为 /local/supplier 和 /local/consumer 中的服务器执行导出。

   $ dsadm show-cert -F der -o /tmp/supplier-cert.txt \ /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt \ /local/consumer defaultCert

2. 交换客户端证书和供应者证书。

   以下示例显示了如何为 /local/supplier 和 /local/consumer 中服务器执行交换。

   $ dsadm add-cert --ca /local/consumer supplierCert \ /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert \ /tmp/consumer-cert.txt

3. 使用正确的 subjectDN 将 SSL 客户端条目添加到使用方，包括 usercertificate;binary 属性中的 supplierCert 证书。

4. 将复制管理器 DN 添加到使用方。

   $ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN

5. 更新 /local/consumer/alias/certmap.conf 中的规则。

6. 使用 dsadm start 命令重新启动两台服务器。

6410741

目录服务控制中心 将值作为字符串进行排序。因此，您在 目录服务控制中心 中排序数字时，这些数字会被视为字符串。

0、20 和 100 按升序排列的结果为 0、100、20。 0、20 和 100 按降序排列的结果为 20、100、0。

6412131

包含多字节字符的证书名在 dsadm show-cert instance-path valid-multibyte-cert-name 命令的输出中显示为点。

6416407

目录服务器 不能正确地解析包含换码引号或单个换码逗号的 ACI 目标 DN。以下修改示例导致语法错误。

dn:o=mary\"red\"doe,o=example.com
changetype:modify
add:aci
aci:(target="ldap:///o=mary\"red\"doe,o=example.com")
 (targetattr="*")(version 3.0; acl "testQuotes";
 allow (all) userdn ="ldap:///self";)

dn:o=Example Company\, Inc.,dc=example,dc=com
changetype:modify
add:aci
aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com")
 (targetattr="*")(version 3.0; acl "testComma";
 allow (all) userdn ="ldap:///self";)

但是，在具有多个已换码逗号的情况下，已证实可以正确地进行解析。

6428448

dpconf 命令在交互模式下显示 Enter "cn=Directory Manager" password: 提示两次。

6446318

在 Windows 中，SASL 验证因以下两个原因失败：

• 使用了 SASL 加密。

  要解决 SASL 加密导致的问题，请停止服务器，编辑 dse.ldif，然后将 SASL 重置为以下设置。

  dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0

• 安装使用本地软件包完成。

  要解决本地软件包安装导致的问题，请将 SASL_PATH 设置为 install-dir\share\lib。

6449828

目录服务控制中心 不能正确地显示 userCertificate 二进制值。

6461602

如果源为逻辑删除 (tombstone) 且目标为条目，则 dsrepair fix-entry 不起作用。

解决方法：使用 dsrepair delete-entry 命令明确删除条目。然后，使用 dsrepair add-entry 命令添加逻辑删除 (tombstone)。

6468074

设置了 passwordRootdnMayBypassModsCheck 配置属性后，无法从该配置属性的名称明确判断服务器现在是否允许任何管理员在修改其他用户的密码时规避密码语法检查。

6469154

在 Windows 中，dsadm 和 dpadm 命令的输出以及帮助消息未本地化为简体中文和繁体中文。

6469296

尽管 目录服务控制中心 允许您复制现有服务器的配置，其并不允许您复制插件的配置。

6469688

在 Windows 系统中，dsconf 命令无法导入 LDIF 文件名中具有双字节字符的 LDIF。

要解决此问题，请更改 LDIF 文件名，使其不包含双字节字符。

6483290

目录服务控制中心 和 dsconf 命令都不允许您配置 目录服务器 处理无效差价签名的方式。默认行为是验证插件签名，但并不是要求它们有效。目录服务器 会针对无效签名记录警告。

要更改服务器行为，请调整 cn=config 上的 ds-require-valid-plugin-signature 和 ds-verify-valid-plugin-signature 属性。可以将两个属性设置为 on 或 off。

6485560

目录服务控制中心 不允许您浏览配置为返回对其他后缀引用的后缀。

6488197

在 Windows 系统上安装并创建服务器实例后，安装和服务器实例文件夹的文件访问权限允许所有用户进行访问。

要解决此问题，请更改安装和服务器实例文件夹上的权限。

6488284

对于 HP-UX 平台，无法从命令行访问以下各节的 Directory Server Enterprise Edition 手册页：

• man5dpconf.

• man5dsat.

• man5dsconf.

• man5dsoc.

• man5dssd.

要解决此问题，请访问 《Sun Directory Server Enterprise Edition 7.0 Man Page Reference》中的手册页。从该位置中，您可以下载所有 Directory Server Enterprise Edition 手册页的 PDF 格式文件。

6490557

尝试输入无效 CoS 模板导致 Directory Server 6 版本出现故障。

6490653

使用 目录服务控制中心 通过 Internet Explorer 6 为 目录服务器 启用引用模式时，确认引用模式窗口中的文本被截断。

要解决此问题，请使用其他浏览器，例如 Mozilla Web 浏览器。

6491849

升级副本并将服务器移动到新系统后，您必须重新创建复制协议才能使用更新主机名。目录服务控制中心 使您可以删除现有复制协议，但不允许您创建新协议。

6492894

在 Red Hat 系统中，dsadm autostart 命令不总是确保服务器实例在引导时启动。

6494997

dsconf 命令在配置 DSML 时不提示输入相应的 dsSearchBaseDN。

6495004

在 Windows 系统中，目录服务器 在实例的基名为 ds 时无法启动。

6497894

dsconf help-properties 命令设置为仅在创建实例后正常发挥作用。此外，dsml-client-auth-mode 命令值的正确列表应为 client-cert-first | http-basic-only | client-cert-only。

6500936

在本地修补程序传送中，用于为过滤访问日志选择日期的小型日历在繁体中文版本中未正确地本地化。

6501320

在自定义模式下建立索引时，DSCC 未完全传播 all-ids-threshold 的后缀级别更改。

6503509

dsccmon、dsccreg、dsccsetup 和 dsccrepair 命令显示的部分输出未被本地化。

6503546

更改系统的语言环境并启动 DSCC 不会以您选择的语言环境显示弹出窗口消息。

6504180

在 Solaris 10 中，对其 DN 在英语和日语语言环境中具有多字节字符的实例进行密码验证失败。

6504549

如果 ns-slapd 进程是使用 rsh 远程启动的，则 Java Enterprise System Monitoring Framework 不能成功地找到 目录服务器 的实例。

6507312

在 HP-UX 系统中，通过 gdb 进行调查后，使用 NSPR 库的应用程序会出现故障并进行信息转储。将 gdb 连接到正在运行的 目录服务器 实例，然后使用 gdb quit 命令时，会出现该问题。

6520646

在使用 Internet Explorer 时，单击浏览 DSCC 联机帮助不会显示联机帮助。

6527999

Directory Server 插件 API 包括 slapi_value_init()()、slapi_value_init_string()() 和 slapi_value_init_berval() () 函数。

这些函数都需要“完成”的函数释放内部元素。但是，公共 API 缺少 slapi_value_done()() 函数。

6541040

使用 目录服务控制中心 修改密码策略时，可能会无意间重置尚未更改的属性。

使用 目录服务控制中心 管理默认密码策略不会导致任何错误。但是，使用 目录服务控制中心 管理专用密码策略会导致未更改的属性被重置。

6542857

在 Solaris 10 中使用服务管理工具 (SMF) 启用服务器实例时，该实例在您重新启动系统时可能不会启动，并返回以下错误：

svcadm: Instance "svc:/instance_path" is in maintenance state.

要解决此问题，请使用本地用户身份创建 Directory Server 和 Directory Proxy Server 服务器。

6547992

在 HP-UX 中，dsadm 和 dpadm 命令可能找不到 libicudata.sl.3 共享库。

此问题的解决方法是，设置 SHLIB_PATH 变量。

env SHLIB_PATH=${INSTALL_DIR}/dsee6/private/lib dsadm

6550543

将 DSCC 用于 Tomcat 5.5 和 JDK 1.6 的组合时，您可能会遇到错误。

解决方法时，改为使用 JDK 1.5。

6551685

在重新引导系统时，dsadm autostart 会使本地 LDAP 验证失败。

解决方法是，以相反的顺序排序重新引导脚本。默认顺序为 /etc/rc2.d/S71ldap.client 和 /etc/rc2.d/S72dsee_directory。

6557480

在 Solaris 9 和 Windows 中，从控制台访问使用 Web 归档文件 (WAR) 配置的联机帮助时，系统会显示错误。

6559825

如果使用 DSCC 在已复制后缀的服务器上修改端口号，则设置服务器之间的复制协议时会出现问题。

6587801

目录服务控制中心 和 6.1 或更高版本中的 dsadm 命令不显示在 6.0 版本中使用 dsadm 命令创建的 目录服务器 实例的内置 CA 证书。

要解决此问题，请执行以下步骤：

使用 64 位版本的 modutil 添加 64 位模块：

$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" \ -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db

6630897

dsadm show-*-log l 命令的输出不包括更正行。它包括上一轮转日志的最后几行。

6630924

如果日志中的部分行包含 1024 个以上的字符，则 dsadm show-*-log 命令的输出不正确。

6634397

对于在 DSCC 中注册为侦听所有接口 (0.0.0.0) 的服务器，尝试使用 dsconf 修改服务器的侦听地址会产生 DSCC 错误。

要仅使用 SSL 端口并通过 Directory Server Enterprise Edition 6.3 设置 secure-listen-address，请使用以下解决方法：

1. 从 DSCC 取消注册服务器：

   dsccreg remove-server /local/myserver

2. 禁用 LDAP 端口：

   dsconf set-server-prop ldap-port:disabled

3. 设置 secure-listen-address：

   $ dsconf set-server-prop secure-listen-address:IPaddress

   $ dsadm restart /local/myserver

4. 使用 DSCC 注册服务器。在“注册服务器”向导中，指定服务器的 IP 地址。此操作无法撤消。

6637242

部署 WAR 文件后，“查看拓扑”按钮不总是起作用。有时出现 Java 异常，其基于 org.apache.jsp.jsp.ReplicationTopology_jsp._jspService

6640755

在韩文语言环境的 Windows 中，ns-slapd 无法启动时，dsadm start 命令不能显示 nsslapd 错误日志。

6648240

更改或删除 目录服务控制中心 中“索引”选项卡下“其他索引”表中的属性，会导致显示过时的信息，直到刷新浏览器。

6689432

尝试将 use-cert-subject-as-bind-dn 设置为 False 失败后显示的错误消息中包含错误的属性名。

6696857

如果 Directory Proxy Server 实例仅通过 DSCC 启用了 secure-listen-socket/端口，且服务器证书不是默认证书（例如，certificate-Authority-signed 证书），则 DSCC 无法用于管理实例。

要解决此问题，请取消注册 DPS 实例，然后对其再次进行注册。另一解决方案是使用服务器证书更新 DSCC 注册表中 DSCC 实例的 userCertificate 信息。

6720595

在 UNIX 系统中，尝试使用 dsconf set-log-prop 或 DSCC 更改任何尚不存在日志文件的路径会失败。

6725346

数据库名仅可包含 ASCII（7 位）字母数字字符、连字符 (-) 和下划线 (_)。目录服务器不允许数据库名、文件名和路径名的字符串中包含多字节字符（例如，中文或日文字符集中的字符）。要解决此问题，在创建具有多字节字符的目录服务器后缀时，请指定不含多字节字符的数据库名。例如，在命令行中创建后缀时，明确设置 dsconf create-suffix 命令的 --db-name 选项。

$ dsconf create-suffix --db-name asciiDBName multibyteSuffixDN

请勿对后缀使用默认数据库名。请勿对数据库名使用多字节字符。

6750837

Microsoft Windows 中网络驱动器的规范是区分大小写的。因此，例如重新启动主帮助集后，在 DSEE 管理命令中同时使用 C:/ 和 c:/ 会导致复制失败。解决方法是，使用“DSEE_HOME/ds6/bin/dsconf accord-repl-agmt”更正复制协议。

6751354

Microsoft Windows 中网络驱动器的规范是区分大小写的。因此，例如在 DSEE 管理命令中同时使用 C:/ 和 c:/ 会产生各种错误消息，例如以下消息：

WARNING<4227> - Plugins - conn=-1 op=-1 msgId=-1 - Detected plugin paths from another install, using current install

要避免这些警告，请确保全部使用 C:/。

6752625

DSCC 中的联机帮助可能链接到未知网页。特别是，某些向导菜单可能建议以下内容：

For more information about data source configuration, see the "Sun Directory Server Enterprise Edition Reference."

选择到 DSEE 引用文档的链接会产生错误消息。

要解决此问题，请使用第三个鼠标按钮选择链接，然后从弹出菜单中选择“在新窗口中打开链接”命令。选定的文档即会显示在新的浏览器窗口中。

6753020

在包括 5.2 使用方的多主复制配置中，最多支持 4 台 7.0 版本的服务器。

6776034

无法在 Solaris 9 的 CACAO 中注册 DSCC 代理。如果系统中缺少 SUNWxcu4 软件包，则命令 DSE _HOME/dscc6/bin/dsccsetup cacao-reg 会失败，并出现错误无法配置 Cacao。

要修复此问题，请在您的系统上安装缺少的 SUNWxcu4 软件包。

6783994

-f 选项无法与 ldapcompare 命令一起发挥作用。

6845087

在 Windows 中，CLI 显示垃圾字符。

6853393

DSCC 不支持主机同义词。复制 DSCC 后缀时，复制协议中的主机名必须与 DSCC 注册表中的主机名匹配。

6876315

如果正在运行 dsmig 命令的用户没有目标目录服务器实例，则该命令会失败，因为其没有足够的权限来生成和访问迁移文件。

如果 dsmig 命令由拥有目标目录服务器且至少具有对源目录服务器的读取权限的用户运行，则该命令会成功运行。如果不符合这些条件，请通过导出数据库并将其导入至新的目录服务器来执行迁移。

6885178

hosts_access 的手册页错误地指明 IPv6 在 Windows 系统上不受支持。

6891486

某些调试消息和错误 Error #20502 在数据库检查点操作期间出现严重故障，err=2 (无此文件或目录)，有时会在导入处理开始前被记录。可以忽略这些消息，因为它们指的是将被删除的旧后缀数据。

6894136

如果在服务器实例上将空闲超时设置为非常小的值，例如 2s，DSCC 可能显示衔接错误并阻止需要较长时间完成的一些操作（例如轮转日志）。请确保将空闲超时至少设置为 10s 或 20s，并根据您的网络延迟调整空闲超时。

6898825

在 Windows 2008 中，通用代理框架有时拒绝从 Windows 服务管理器中启动。

解决方法是，使用 cacaoadm start 命令手动启动 CACAO 服务。