| Oracle® Fusion Middleware Oracle Access Manager管理者ガイド 11g リリース1(11.1.1) B62265-01 |
|
 戻る |
 次へ |
この章ではトラブルシューティングのヒントについて説明します。
OAMはビジネス・クリティカルなシステムで、停止時間によりビジネスに高いコストが生じる可能性があります。システム分析の目標は、迅速な問題の切り分けおよび原因の修正です。これにはシステムの全体像と、使用中のシステムを監視し、コンポーネントをさらに大きな視野と関連付けるツールが必要です。
管理者による迅速な診断を支援するために、この項では次の項目を提供します。
システム分析には、製品の動作、失敗の可能性、起こりうる例、およびその影響または観測可能な問題の理解が含まれます。
システムの問題は次の基本的な2つのカテゴリに分類できます。
連鎖的で致命的な障害
漸進的なパフォーマンスの低下
連鎖的で致命的な障害は次のことが原因で発生する可能性があります。
LDAPサーバーがロードされて応答しない
朝のピーク負荷の開始
WebGateがプライマリOAMサーバーにリクエストを送信
WebGateリクエストがタイムアウトで、WebGateがセカンダリOAMサーバーに再試行
漸進的パフォーマンスの低下は、次のように、時間の経過にともなって発生する可能性があります。
OAMのサイズが変更され、10,000ユーザーおよび500グループ用にロールアウトされた
1年の間に、ユーザーおよびグループの数が大幅に増加(たとえば50,000ユーザーおよび250グループ)
もっとも一般的に発生する問題については、次の各項を参照してください。
この項では、次の問題の症状、考えられる原因および診断手順を提供します。
症状: 動作が遅い
ユーザーの操作性の悪化
エージェントのタイムアウトによる再試行
原因
OAM以外の負荷がOAMの操作に影響を与える可能性がある
ピーク負荷の漸進的増加によるキャパシティの問題
症状: サービスがすべて失われる
原因
すべてのLDAPサーバーの停止
ロード・バランサの古い接続のタイムアウト
診断
この項では、次の問題の症状、考えられる原因および診断手順を提供します。
症状: キャパシティの問題
動作の遅さによるユーザーの操作性の悪化
エージェントのタイムアウトと再試行は余分な負荷となる可能性がある
原因
CPUサイクル
メモリの問題
症状: ホスト上の他のサービスとの衝突
動作の遅さによるユーザーの操作性の悪化
エージェントのタイムアウトと再試行は余分な負荷となる可能性がある
原因
CPUサイクルの競合
メモリの競合
ファイルシステムが満杯
診断: OAMサーバー
OAMサーバーを停止します
WebGateまたは保護されたリソースmod_ossoにアクセスしてみます
OAMサーバーを立上げます
アクセス・テスターを使用して、第10章の説明に従い認証および認可をテストします。
アクセス・テスターを使用しながら、'top'を使用してOAMサーバーのCPUおよびメモリ消費を計算します
OAMサーバーのスレッド・ダンプを取得します。
診断: OAM Adminサーバー
OAM AdminServerを停止します
ブラウザを再起動し、処理の必要がある保護されたリソースにアクセスします。
第6章の説明に従い、リモート登録を使用して新しいパートナを登録します(これは失敗するはずです)。
OAM AdminServerを開始します。
この項では、エージェントとサーバー間の時間の問題の症状、考えられる原因および診断手順を提供します。
症状: エージェントとサーバーでクロック時間が異なる
エージェントおよびサーバーの両方で高いCPU使用率
ユーザーにシステム停止が発生
原因
エージェントはサーバーが発行したトークンが無効だと判断
エージェントがトークンの再発行のためサーバーへ戻し続けている
診断
保護されたリソースにアクセスします。
確認: クライアント・アクセスがハングしています。
確認: エージェントおよびサーバーで高いCPU使用率。
監査およびセッション機能はどちらも書込み集中型の処理です。ポリシー・データベースは読取り集中型のサービスに対してチューニングできます。
症状
監査およびセッション処理が遅い
OAMサーバー上のファイルシステムが、まだデータベースに書き込まれていない監査データで満杯
クラスタ内のいずれかのサーバーの障害発生時にメモリ内セッションが消失
原因
データベースが書込み集中型の処理向けにチューニングされていない
データベースがメンテナンスにより使用できない
データベースの容量の問題
診断
この項では、次の問題の症状、考えられる原因および診断手順を提供します。
症状
ポリシーへの変更がすぐに有効にならない
システム構成への変更がすぐに有効にならない
原因
サーバーがランタイム・リクエストの処理でビジー状態(CPUの競合)
コヒーレンス・ネットワークが遅い
診断: 「ポリシー・ストア・データベースの問題について」を参照してください
この項では次の情報を提供します。
問題
チャレンジ・リダイレクトURLはNULLでもかまいませんが、チャレンジ・メソッドにNULLは使用できません。
匿名認証スキームを開いて編集し、チャレンジ・メソッドの値を追加せずに「適用」をクリックすると、次のエラーが表示されることがあります。
Messages for this page are listed below. * Challenge Method You must make at least one selection. * Challenge Redirect You must enter a value.
解決策
匿名認証スキームを編集するときは必ずチャレンジ・メソッドとチャレンジ・リダイレクトの両方を含める必要があります。
問題: 制約エラー
IPv4範囲または一時的制約を作成または編集するたびに、エラーがoam-server診断ログ・ファイルに記録されます。
.... refreshPolicy specified but no response collector supplied
原因
これは誤ってERRORレベルでログに記録されるメッセージです。メッセージの正しいレベルはINFOです。
認証に使用されるLDAPディレクトリ(またはポリシー・ストアとして定義されているデータベース)が停止またはアクセスできない場合、高負荷またはタイムアウトが原因の可能性があります。このLDAPまたはポリシー・ストアを使用する保護されたリソースへアクセスしようとするとメッセージが表示されます。
解決策
登録されたLDAPまたはデータベースを手動で停止します。
登録されたLDAPまたはデータベースを再起動します。
OAMサーバーをWebLogicサーバー・ドメインに構成する前にOAMサーバーに構成詳細を作成および適用しようとすると、次のことを伝えるメッセージが表示されます。
Configuration does not exist for path /DeployedComponent/Server/oamServer/Instance/test For more information, please see the server's error log for an entry beginning with: Server Exception during PPR, #6.
この問題を解決するには、OAM 11gで構成を登録する前にWebLogic ServerドメインにOAMサーバーを構成する必要があります。
管理サーバー出力で、"部分トリガーが見つからない"エラーが表示されることがあり(「ポリシー構成」タブまたは「ホスト識別子」ノードをクリックしたときに選択したノードそれぞれに対して複数回)、そのためナビゲーション・ツリーの他のノードのいずれかをクリックします。
これは機能を妨げるものではありません。
OAMサーバーの診断機能を使用してOAMサーバー側でデバッグします。この項の内容は次のとおりです。
次の方法を使用して、OAM 11gデプロイメントにOAM 10g WebGateを新たにインストールしたときの認証の問題をトラブルシューティングします。
Internet Explorer HTTPヘッダーまたはFirefox Live HTTPヘッダーのようなhttpヘッダー・トレースを使用して、リクエストが保護されていたことを確認します。
リクエストが認証のためOAMサーバーに送信されることを確認します。
GET /oam/server/obrareq.cgi?…..
Host: oam-server:port
次の方法を使用して、OAM 11gデプロイメントにOAM 10g WebGateを新たにインストールしたときのログアウトの問題をトラブルシューティングします。
HTTPヘッダー・トレースを十分に使用します
特定のlogout.htmlが10g WebGateのインストール・ディレクトリの/access/oamssoフォルダにコピーされたことを確認します。存在しない場合、「OAM 11gの集中ログアウトの構成」の説明に従い、logout.htmlを作成する必要があります。
OAM 10g WebGateのhttpd.confを変更して次の行を削除します。
<LocationMatch "/oamsso/*"> Satisfy any </LocationMatch>
OAM管理コンソールから、LogoutUrlsパラメータ(/oamsso/logout.html)がこのWebGate用に構成されていることを確認します
この項の内容は次のとおりです。
問題
OAMサーバーが起動しない。
解決策
OAMサーバーをホストしているコンピュータ上のOAMサーバー・ログ・ファイルを探して確認します。
DOMAIN_HOME/servers/SERVER-NAME/logs/SERVER-NAME-diagnostics.log
第13章「コンポーネント・イベント・メッセージのロギング」の説明に従い、このコンピュータのログを有効にします。
DOMAIN_HOME/config/fmwconfig/servers/SERVER-NAME/logging.xml
OAMサーバーを再起動し、動作を監視し、必要ならばログ・ファイルを再度確認します。
問題
OAMサーバーの監視により、認証中の待機時間の著しいスパイクが明らかになります。
解決策
OAMサーバーをホストしているコンピュータ上のOAMサーバー・ログ・ファイルを探して確認します。
DOMAIN_HOME/servers/SERVER-NAME/logs/SERVER-NAME-diagnostics.log
第13章「コンポーネント・イベント・メッセージのロギング」の説明に従い、このコンピュータのログを有効にします。
DOMAIN_HOME/config/fmwconfig/servers/SERVER-NAME/logging.xml
OAMサーバーを再起動し、動作を監視し、必要ならばログ・ファイルを再度確認します。
問題
解析および評価のすべての式のデバッグにより、メモリーの増加が原因で、重大なパフォーマンスの負荷が20時間以内に発生し、メモリー不足で50時間以内実行していました。
構成: 2GBヒープ、3分のセッション・タイムアウト、jdbc接続をmin=32 max=200に調整、jdbc接続アイドル・タイムアウト無効、jboプール・サイズmin = 10 & max=150
解決策
比較用のヒープ・ダンプを生成するには、次のコマンドライン・ツールjmap(Sun jvm用)、またはJAVA_HOME/binの下にあるjrcmd(jrockit jvm用)を使用します。
jrockit jvm用
jrcmd pid <command> /jrockit_160_14_R27.6.5-32/bin/jrcmd 16775 heap_diagnostics /jrockit_160_14_R27.6.5-32/bin/jrcmd 16775 print_threads /jrockit_160_14_R27.6.5-32/bin/jrcmd 16775 jrarecording ....
Sun jvm用
jmap -histo <pid> jmap -dump:live,format=b,file=heap.bin <pid>
Windows上のIIS Webサーバーは、IISがインストールされたときのデフォルトであるチャレンジ/レスポンス認証をサポートします。これにより、ユーザーはIISからリソースをリクエストされ、Oracle Access Managerの認証と競合する可能性があるときにドメイン・ログインを使用できます。
たとえば、Internet Explorer(IE)ブラウザから、Oracle Access ManagerによりBasic認証スキームで保護されたIIS上のリソースへの最初のリクエスト時に、IEはドメインとOracle Access Managerにより提供されたユーザー名よびパスワード・ログインを要求するログイン・ダイアログ・ボックスを表示します。
IIS用のMicrosoft Management Consoleを起動します。
左側のパネルで「Internet Information Server」の下の「Web Server Host」を選択します。
右クリックして「Properties」を選択します
スクロール・ダウンし、「Edit the Master Properties for WWW Service」を選択します。
「Directory Security」タブを選択します。
「Edit Anonymous Access and Authentication Control」を選択します。
使用しているプラットフォームに応じた手順を完了します。
Windows 2000: 「Integrate Windows Authentication」チェック・ボックスの選択を解除します。
「OK」をクリックします。
「Windows IIS properties」画面で「OK」をクリックします。
Microsoft Management Consoleを閉じます。
次の各項目が役に立ちます。
フォーム認証またはパススルー機能が動作しない場合、問題はWebGateプロファイルの"UseWebGateExtForPassthrough"パラメータがtrueに設定されていないか、webgate.dllがIISのWild Card Application Mappingのように構成されていないかのいずれかである可能性があります。このような場合、WebGateはフォームベース認証により保護されたリソースに対するHTTP "POST"リクエストの認証または認可を実行しません。
解決策: WebGateプロファイルのUseWebGateExtForPassthroughパラメータを値trueで構成し、webgate.dllをWild Card Application Mappingのように構成します。
Oracle Access Manager WebGatesとIIS Webサーバーのインストール時の一般的なガイドラインを次に示します。
アカウント権限: Oracle Access Managerのインストールを実行するアカウントには管理者権限が必要です。OAMサービスを実行するのに使用するユーザー・アカウントには"サービスとしてログオンする"権限が必要で、これは管理ツール、ローカル・ポリシー、ローカル・ポリシー、ユーザー権限の割当て、サービスとしてログオンを選択して設定できます。
IIS 6 Webサーバー: WWWサービスをIIS 5.0分離モードで実行する必要があります。これはISAPIのpostgateフィルタにより必要です。Oracle Access Managerのインストール中に、これは通常自動的に設定されます。されなかった場合、デフォルトのWebサイトに手動で設定する必要があります。
IIS 7 Webサーバー用WebGate: フォームベース認証をパススルー機能を有効にしないで使用するには(たとえば、"access/oblix/apps/webgate/bin/webgate.dll"はフォームベース認証スキームのアクションです)、エントリ"<add segment="bin"/>"がapplicationHost.configファイルに存在しないようにします。エントリが存在する場合、削除する必要があります。このエントリを確認するには、次の手順を使用します。
Windows\System32\inetsrv\configに移動してファイルapplicationHost.configを開きます
<hiddenSegments>モジュールを検索し、もしあればエントリ<add segment="bin"/>を削除します。
WebGate: IIS WebGateのインストール時に、NTFSをサポートするファイルシステムにインストールする場合にのみ、IIS WebGateでは、/accessディレクトリに対する様々な権限の設定が必要です。たとえば、ISAPI WebGateをFAT32ファイルシステムが実行しているWindows 2000コンピュータに簡易または証明書モードでインストールするとします。最後のインストール・パネルには、FAT32ファイルシステム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、この指示は無視してください。
IIS 6 Webサーバーでのみ、WWWサービスをIIS 5.0分離モードで実行する必要があり、これはISAPI postgateフィルタの要件です。この例は、32ビットWindowsオペレーティング・システムで実行している32ビットのOracle Access Managerバイナリがある場合に動作します。しかし、IISが32ビット・モードで実行している64ビットWindowsマシンで32ビットpostgate.dllを実行しようとすると問題が発生します。
問題
IISがIIS5.0分離モードで実行している場合、次のメッセージが表示されます。
ISAPIフィルタ'C:\webgate\access\oblix\apps\webgate\bin\webgate.dll'は構成の問題が原因でロードできませんでした。
原因
現在の構成はAMD 64ビット・プロセッサ・アーキテクチャ用に作成されたイメージのロードのみをサポートします。データ・フィールドにはエラー番号が含まれます。
解決策
この問題の詳細は、この種類のプロセッサ・アーキテクチャの不一致のエラーのトラブルシューティング方法も含め、次のWebサイトを参照してください。
http://go.microsoft.com/fwlink/?LinkId=29349
詳細は、次のヘルプとサポート・センターを参照してください。
http://go.microsoft.com/fwlink/events.asp
問題
IIS5は64ビットとして存在することはありません。しかし、64ビットWindowsコンピュータ上でのIIS v6のIIS5互換モードだけは64ビットとして実行します。
原因
次のURLで参照できるドキュメントのとおり、64ビットWindowsでIIS5分離モード32ビットを実行することはアーキテクチャ上無理です。
http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.pu blic.inetserver.iis&tid=5dd07102-8896-40cc-86cb-809060fa9426&cat=en_US_ 02ceb021-bb43-476d-8f8f-6c00a363ccf5&lang=en&cr=US&p=1
http://blogs.msdn.com/david.wang/archive/2005/12/14/HOWTO-Diagnose-one-cause-of-W3 SVC-failing-to-start-with-Win32-Error-193-on-64bit-Windows.aspx
パススルー機能用にWebGateを構成した後に表示される"ページが表示できません"エラーは、構成の問題を示します。
解決策: WebGateプロファイルのUseWebGateExtForPassthroughパラメータを値trueで構成し、webgate.dllをWild Card Application Mappingのように構成します。
Oracle Access ManagerがMicrosoftのIIS Webサーバーで実行している場合、Oracle Access Managerを再インストールするときには次のISAPIフィルタを手動でアンインストールおよび再インストールする必要があります。
tranfilter.dll
oblixlock.dll(WebGateがインストール済の場合)
webgate.dll(WebGateがインストール済の場合)
Oracle Access Managerをアンインストールします。
前述のDLLを手動でアンインストールします。
Oracle Access Manager.Active Directoryを再インストールします。
DLLを手動で再インストールします。
|
注意: これらのフィルタは使用しているIISのバージョンにより異なる可能性があります。これらのフィルタが存在しないまたは別のものが存在する場合、存在するフィルタを削除する必要があるかどうかはOracleにお問い合せください。 |
jpsロガー・クラスのインスタンス化警告が認証時にバックエンドに表示されることがあります。しかしこれは無害な警告で対処する必要はありません。
問題
物理的なホストおよびポートを使用してOAMのインストールとページの保護後、OHS物理ホストおよびポートを使用してパートナ・アプリケーションを登録します。保護されているページにアクセスするときに、ログインはユーザーへの資格証明の要求に失敗します。ログ・ファイルに、すべての構成と登録が正しく設定されているにもかかわらず、そのURがは仮想ホストにリダイレクトされたことが示されます。
解決策
Oracle HTTP Server(OHS)物理ホストおよびポートを使用してページを保護する場合、httpd.confから仮想ホスト・ディレクティブを削除します。
問題
WebLogic構成ウィザードを使用して2つのコンピュータに1つのOAMサーバー・クラスタを作成し、AdminServerを開始した後で、すべてのサーバーが適切に開始します。停止後、3つ目のサーバーをWebLogicサーバー管理コンソールを使用して追加し、新しい管理対象サーバーを作成してクラスタに追加します。3つ目のサーバーは開始すると実行モードになりますが、いくつかの例外が開始ログに記録されます。
... Exception in thread "OAM Metric Persistence Timer"
解決策
WebLogic管理コンソールでの操作に追加して、OAM管理コンソールを使用してサーバーを登録し、サーバーが自分自身を識別できるようにする必要があります。
|
注意: 同じコンピュータに対し2番目のサーバー・インスタンスを追加および登録する場合、すべてのポート番号は異なる必要があります。OAMプロキシ・ポート("ポート"はWebLogicサーバー・コンソールのものと一致する必要があります)とコヒーレンス・ポートです。 |
サーバー登録の詳細は、「個別のOAMサーバー登録の管理」を参照してください。
問題
Oracle Access Managerの部分的な停止(クラスタのいくつかのインスタンス、ただしすべてではない)が発生したときに、エンド・ユーザーに断続的なログインおよびログアウト障害が発生することがあります。
回避策
デプロイメントからOHSを削除します
各OHSインスタンスがWebLogicサーバー・インスタンスに固定されるようにOHSクラスタを構成します。
正常に動作していないOracle Access ManagerアプリケーションのあるWebLogicサーバー・コンテナは、サービスから削除(停止)してリカバリ時に戻される必要があります。
問題: リモート登録ツールの障害
解決策
エージェント名が一意(まだ存在していない)でAdminServerが実行していることを確認します。
問題: ObAccessClient.xmlファイルが生成されない
解決策
保護されたパブリック・リソースは'/index.html'形式の相対URLで記述される必要があります。リソースが'/'で始まっていない場合、ObAccessClient.xmlファイルは生成されません。保護されたパブリック・リソースURLを検証し、すべて"/"で始まるようにします。詳細は、「リソースのURLについて」を参照してください。
問題: パートナ登録の障害
パートナ登録は一意のエージェント名を指定しない場合は失敗する可能性があります。これはまたアプリケーション・ドメインの作成にも使用されます。エージェント名およびアプリケーション・ドメイン名は同じで一意である必要があります。oamreg検証コマンドの使用はエージェント名がアプリケーション・ドメイン名と一致しないと失敗する可能性があります。
解決策
エージェント名およびアプリケーション・ドメイン名は必ず同じにします。
「リソース・タイプ」タブの「リソース表」の参照中に、次のエラー・メッセージがログに記録されます。
@ <Error> <oracle.adfinternal.view.faces.model.binding.CurrencyRowKeySet> @ <BEA-000000> <ADFv: Rowkey does not have any primary key attributes. Rowkey: oracle.jbo.Key[], table: model.ResTypeVOImpl@620289.>
これは無害で機能を妨げるものではありません。
Oracle Enterprise Linuxに同梱されているSELinux変更は、Linuxカーネル内でLinux Security Modules(LSM)の使用を介して様々なポリシーを提供します。
SELinuxには、Oracle Access Manager WebGatesのインストール後、関連するWebサーバーの開始前に、追加の手順の実行が必要です。
問題
より厳密なSELinuxポリシーが存在するLinux配布上のWebサーバーを開始するときに(Oracle Access Manager WebGateのインストール後)、次のエラーがWebServerのログ/コンソールに記録されることがあります。
OAM 11g WebGate
$WebGate_OH/webgate/ohs/lib/webgate.so: cannot restore segment prot after reloc: Permission denied.
OAM 10g WebGate
$WebGate_install_dir/access/oblix/apps/webgate/bin/webgate.so: cannot restore segment prot after reloc: Permission denied.
原因
これらのエラーはファイルのセキュアLinuxセキュリティ・コンテキスト・ポリシーにより報告されます。
解決策
これらのエラーを防ぎ、Webサーバーを開始するには、次のchconコマンドを実行し、各Oracle Access Manager Webコンポーネントのインストール後、関連するWebサーバーの再起動前に、ファイルのセキュリティ・コンテキストを変更します。chconコマンドの詳細は、お使いのLinuxのドキュメントを参照してください。
chcon -t texrel_shlib_t PATH_TO_LIBWEBPLUGINS.SOを実行します。例:
chcon -t texrel_shlib_t /WebGate_install_dir/access/oblix/lib/webgate.so ... and libxmlengine.so
chcon -t texrel_shlib_t PATH_TO_LIBWEBGATE.SOを実行します。例:
chcon -t texrel_shlib_t /WebGate_install_dir/access/oblix/apps/webgate/ bin/webgate.so
管理対象サーバーのSSLおよびオープン・ポートの両方が有効な場合、管理対象サーバーはデフォルトでSSLポートに設定されます。
SSL以外のポートを使用する必要がある場合、認証スキームの資格証明コレクタのURLは、プロトコルとして'http'およびSSL以外のポートを指す絶対URLに設定する必要があります。
問題: OAMサーバーとの接続が確立できません。サーバーへの接続の例外です。接続は拒否されました。
原因:
IDMDomainAgentエージェントはOAMサーバーの前に開始しているので、これはOAMサーバーが実行している管理対象サーバーの正常な予想される動作です。
IDMDomainAgentはすべてのWebLogicコンテナにデプロイされます。WebLogicコンテナが開始されると、エージェントはOAMサーバーに接続しようとします。接続が失敗すると、このメッセージがログに記録され、エージェントは後続のリクエストで接続を確立しようとします。エージェントが接続に成功すると、このメッセージは表示されなくなります。
解決策
OAMサーバーへの接続が正常に行われないと、構成されている場合は、IDMDomainAgentはフォールバックし、WebLogicコンテナは保護を処理(ログインを含む)します。
セッションの状態は依存側にとっての真のソースです。様々なサーバーのシステム・クロックは同期が必要です。
依存側のシステム・クロックは、SMEクロックの同期の範囲外であることがあります。依存側のクロックが次の場合:
セッション・クロックよりも進んでいる: 依存側の認証のリクエストが作成されアクティブ・セッションIDが戻されます。
セッション・クロックよりも遅れている: 依存側ヘルプへのイベント通知によりセッションが無効になります。
たとえば、Webサーバー・クロックがサーバー・クロックよりも進んでいる場合、WebGateからOAMサーバーに送信されるリクエストには、OAMサーバーではまだ発生していない時間が含まれます。これによりログイン・イベントが失敗することがあります。簡易または証明書モードで実行している場合、タイムスタンプは同期の範囲外となるか、またはクライアント証明書が無効のように見えることがあります。
|
注意: イベント通知の問題を防止するには、すべてのOAMサーバーのクロックをNISTインターネット・タイム・サービスのようなタイム・サービスに同期させるようにします。 |
正常な処理のために次のことを行います。
変更を適用せずに操作を取り消すときに問題が発生する場合があります。特定の値を適用する必要があると示すエラーが表示されることがあります。たとえば、空の「ホストID」行を作成し、入力せずに「取消」をクリックすると、これが発生することがあります。
回復させるにはページを閉じるだけです。
|
警告: Oracleサポートからの要求がない限り、Oracle Coherence設定を変更しないことをお薦めします。 |
表示しているのが個別のサーバー・インスタンスのOracle Coherence設定、またはすべてのOAMサーバーに共通のOracle Coherence詳細のいずれであっても、Oracleサポートからの要求がない限り、Oracle Coherence設定を変更しないことをお薦めします。
Oracle CoherenceはJCache準拠のメモリ内キャッシュで、クラスタ化Java EEアプリケーションおよびアプリケーション・サーバー向けのデータ管理ソリューションです。Oracle Coherenceは、クラスタ全体の同時実行性制御を使用し、クラスタ間のデータ変更をレプリケートおよび分散し、データ変更の通知を要求するすべてのサーバーへ配信して、データの更新を連係することで、Oracle Coherenceクラスタ内のデータを共有および管理します。HTTPセッション管理などの機能は、Oracle WebLogic Serverにデプロイされたアプリケーションで即時使用可能です。
Oracle CoherenceのログはWebLogicサーバー・ログにのみ表示されます。Oracle CoherenceのログからOracle Access Managerのログへの橋渡しはありません。
|
関連項目: Oracle Coherenceのドキュメント。 |
問題: リソースが認証または認可ポリシーに追加されない
認証または認可ポリシーの作成中に、別の認証または認可ポリシーで使用したことのあるリソースを追加する場合、「適用」をクリックするときに検証エラーが表示されます。これは予想通りです。
エラー・ウィンドウで「OK」をクリックすると、別の認証または認可ポリシーで使用されていない有効なリソースを追加することを求められ、そのリソースは追加されず、認可または認証ポリシーは作成されません。
解決策
「適用」をクリックして、「認証ポリシー」または「認可ポリシー」ページを閉じます。
ナビゲーション・ツリーでポリシー名を再度クリックし、「編集」をクリックしてページを開き、新しいリソースを追加します。
問題: 検証に失敗 - "description"属性が無効
200文字を超えるオプションの説明を入力すると検証エラーが表示されます。
解決策
オプションの説明の長さは200文字、10行以内にします。
Webサーバーで次の問題が発生することがあります。
症状: Apache Webを実行中に、アクセス・サーバーが次のメッセージを表示して失敗します。
libthread panic: cannot create new lwp (PID: 9035 LWP 2). stackrace: ff3424cc 0
この症状は、Apache Webサーバーが多くの自分自身のインスタンスを起動することにより発生することがあります。1つまたは複数のWebGateおよびアクセス・サーバー間の接続数をサービスするにはもっと多くのインスタンスが必要だとサーバーが判断したときに、これが発生することがあります。
追加のインスタンスはさらに多くの接続を作成し、アクセス・サーバーによる接続数を超過します。
解決策: MinSpareServers、MaxSpareServers、StartServersおよびMaxClientsパラメータの数を減らします。
アクセス・サーバーの構成ディレクトリに移動し、http.d構成ファイルを開きます。
推奨するパラメータ設定は次のとおりです。
MinSpareServers 1
MaxSpareServers 5
StartServers 3
MaxClients 5
HP-UX上でApache v2を実行している場合、共有メモリーが動作できないため、「ユーザー」または「グループ」にnobodyは使用できません。その代わりに、「ユーザー名」にログイン名を、HP-UX上の「グループ名」に使用しているグループを使用します(Solarisでは"www"は"nobody"と同等です)。
HPUX 11.11上でApache v2を実行している場合、Apache httpd.confファイルのAcceptMutexディレクティブがfcntlに設定されていることを確認します。ディレクティブが存在しない場合、httpd.confファイルに追加します(AcceptMutex fcntl)。詳細は、次を参照してください。
ベンダー・バンドルApacheにWebGateをインストールした後、Webサーバーの開始時に次のエラーが発生することがあります。
Error: Cannot load libgcc_s.so.1 library - Permission denied.
解決策: 「Oracle Access Manager WebGate向けApache/IHS v2のチューニング」の説明に従い、Oracle Access Manager WebGate用のセキュリティ強化Linux(SELinux)ポリシー・ルールを変更します。
Oracle Access Manager Webコンポーネントのインストール後、より厳密なSELinuxポリシーが存在するLinux配布上のWebサーバーを開始するときに、エラーがWebServerのログ/コンソールに記録されることがあります。Webサーバーを再起動する前に、インストールされたWebコンポーネント用の適切なchconコマンドを実行することにより、これらのエラーを防止できます。
次の項目は、UNIX上でWebGate用のApache v2をmpm_worker_moduleを使用してコンパイルする場合にのみ必要です。この場合、UNIX環境用にApacheソースからthread.cファイルを変更する必要があります。この変更を行うことで、WebGateのデフォルトのpthreadスタック・サイズによりマルチスレッド・サーバーの実装中に最適なパフォーマンスが得られるようになります。この変更が行われないと、デフォルトのpthreadスタック・サイズはWebGateに対して十分ではなく、クラッシュしてしまうことがあります。
Apache 2.0はThreadStackSizeオプションをサポートしません。そのため、
UNIXベースのApache v2.1およびそれ以降では、クライアント接続を処理し、それらの接続の処理を手助けするモジュールを呼び出すスレッドのスタック・サイズ(autodata用)を、ThreadStackSizeディレクティブを使用して設定する必要があります。
UNIXベースのApache 2では、mpm_worker_moduleの追加およびthread.cファイルの変更の間に互換ソースを使用してスタック・オーバーフローを防止することが最適です。
次の手順は、Apache v2.0のthread.cファイルを変更して、マルチスレッド・サーバーの実装中に最適なパフォーマンスを得るためにWebGateに必要なデフォルトのpthreadスタックサイズを指定する方法を示します。Apache v2.1とThreadStackSizeディレクティブの詳細は、http://httpd.apache.org/docs/2.2/mod/mpm_common.html#threadstacksizeを参照してください。
|
注意: 次の手順はApache 2.0 WebGateでのみ実行されます。それ以外の場合、デフォルトのpthreadスタック・サイズではWebGateに対して十分ではなく、クラッシュしてしまうことがあります。 |
UNIX環境でWebGate用のApache v2.0 thread.cファイルを変更する手順
thread.cファイルを探します。例:
APACHE 2.0.52 source/srclib/apr/threadproc/unix/thread.c
次のコード・セグメントでapr_threadattr_createという名前の関数(apr_threadattr_t **new、apr_pool_t *pool)を探します。
**new,apr_pool_t *pool) in the following code segment:
1-----> apr_status_t stat;
2
3-----> (*new) = (apr_threadattr_t *)apr_pcalloc(pool, sizeof(apr_threadattr_t));
4-----> (*new)->attr = (pthread_attr_t *)apr_pcalloc(pool, sizeof(pthread_attr_t));
5
6-----> if ((*new) == NULL || (*new)->attr == NULL) {
7-----> return APR_ENOMEM;
8-----> }
9
10----->(*new)->pool = pool;
11----->stat = pthread_attr_init((*new)->attr);
12
13-----> if (stat == 0) {
14-----> return APR_SUCCESS;
15-----> }
16----->#ifdef PTHREAD_SETS_ERRNO
17----->stat = errno;
18----->#endif
19
20----->return stat;
21
次のコードを13行目よりも前に追加します。
int stacksize = 1 << 20; pthread_attr_setstacksize(&(*new)->attr, stacksize);
configure、make、make installを実行して、mpm_worker_moduleを使用するApache Webサーバーを設定します。
認証イベントの失敗: Domino Webサーバーの場合、Oracle Access Managerを介したURLのりダイレクトは、認証タイプがBasic Over LDAPに設定され、リダイレクトされるURLが次のいずれかで示されていると、動作しないことがあります。
認証の失敗イベントを解決するには、ホスト識別子グループの下で定義されていないコンピュータ名を使用してリダイレクトされるURLを設定する必要があります。たとえば、コンピュータのIPアドレスです。
この問題はフォームベースの認証タイプでは発生しません。
ヘッダー変数: クライアント認証スキームを使用しているときに、REMOTE_USER以外のヘッダー変数を、Lotus Notes Domino WebサーバーにインストールされたWebGateに渡すことができない場合があります。
たとえば、ヘッダー変数はクライアント証明書認証を発生させるリクエストには設定できません。しかし、その他のすべてのリクエストにはヘッダー変数を設定できます。
詳細は、第21章「10g WebGate用Lotus Domino Web Serverの構成」を参照してください。
症状: Webサーバー・インスタンスの作成に使用したものと違うユーザーIDを使用してUNIXにOracle Access Managerをインストールすると、Oracle Access Managerが不安定になることがあります。次のような動作が発生する可能性があります。
解決策: chownコマンドを使用してファイルの権限を変更します。Oracle Access Managerディレクトリを、Webサーバー・インスタンスを作成するのに使用したのと同じユーザーIDに変更します。
WebGateはISAPIの拡張を使用してユーザー拒否エラー・メッセージおよび診断ページを表示します。しかし、ISA 2006は拡張をサポートしていません。そのため、
ユーザーがWebGateによりアクセス拒否された場合、ユーザーはOracle Access Managerのアクセス拒否エラー・メッセージではなく、ページが表示されないエラー・メッセージを受け取ります。
次のWebGate用の診断URLはISAに対しては動作しません: http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.dll?progid=1
Oracle HTTP ServerにWebGateインスタンスをインストールすると、サーバーが起動しません。これはOracle Access Managerが古いLinuxのスレッド・モデルを使用しているために起こります。
|
注意: Oracle Access Managerの実行時は、デフォルトではLinuxThreadsが使用されます。これは環境変数LD_ASSUME_KERNELが2.4.19に設定されていることが必要です。NPTLをOracle Access Managerとともに使用している場合、LD_ASSUME_KERNELは2.4.19に設定しません。 |
解決策: LinuxThreadsモードを使用している場合、次の手順の説明に従い、ttpd.confファイルのPerlモジュールをコメント・アウトし、LD_ASSUME_KERNEL環境変数を更新して起動します。
LinuxThreadsモードでOracle HTTP Serverの開始の失敗を解決する手順
次の場所にあるhttpd.confファイルのPerlモジュールをコメント・アウトします。
Oracle HTTP Server 11g: ORACLE_INSTANCE/config/OHS/<ohs_name>/httpd.conf
Oracle HTTP Server v2: OH$/ohs/conf/httpd.conf
Oracle HTTP Server v1.3: OH$/Apache/Apache/conf/httpd.conf
LD_ASSUME_KERNELの値を更新するには、テキスト・エディタで次のファイルを開きます。
OH$/opmn/conf/opm.xml
次の行を探します。
<process-type id="HTTP_Server" module-id="OHS">
前の手順で見つけた行の下に次の情報を追加します。
<environment> <variable id="LD_ASSUME_KERNEL" value="2.4.19" /> </environment>
このファイルを保存します。
次のコマンドを実行して変更を実装します。
opmnctl stopall opmnctl startall
この状況はOracle Access ManagerをLinuxThreadsまたはNPTLのどちらとともに使用していても発生する可能性があります。
症状: Red Hat Enterprise Serverバージョン4.0が2.6.9-34.ELよりも低いカーネル・バージョンで実行しているOracle HTTP Serverにインストールされた場合に、WebGateは初期化に失敗します。バージョン2.6.9-34.ELはRed Hatバージョン4、アップデート3とともに提供されます。
解決策: この問題を防ぐには、Red Hatバージョン4、アップデート3またはそれ以上にアップグレードする必要があります。
問題
Oracle Application Server 10.1.x、OC4Jでは、WebGateのインストール中にhttpd.confファイルが自動的に修正されるときに、破損する可能性があります。
解決策
WebGateのインストール前に、次のコマンドを実行して、httpd.confファイルが上書きされるのを防ぎます。
$ORACLE_HOME/dcm/bin/dcmctl updateConfig -ct ohs
IIS 6 Webサーバーでのみ、WWWサービスをIIS 5.0分離モードで実行する必要があり、これはISAPI postgateフィルタの要件です。この例は、32ビットWindowsオペレーティング・システムで実行している32ビットのOracle Access Managerバイナリがある場合に動作します。しかし、IISが32ビット・モードで実行している64ビットWindowsマシンで32ビットpostgate.dllを実行しようとすると問題が発生します。
問題
IISがIIS5.0分離モードで実行している場合、次のメッセージが表示されます。
ISAPIフィルタ'C:\webgate\access\oblix\apps\webgate\bin\webgate.dll'は構成の問題が原因でロードできませんでした。
原因
現在の構成はAMD 64ビット・プロセッサ・アーキテクチャ用に作成されたイメージのロードのみをサポートします。データ・フィールドにはエラー番号が含まれます。
解決策
この問題の詳細は、この種類のプロセッサ・アーキテクチャの不一致のエラーのトラブルシューティング方法も含め、次のWebサイトを参照してください。
http://go.microsoft.com/fwlink/?LinkId=29349
詳細は、次のヘルプとサポート・センターを参照してください。
http://go.microsoft.com/fwlink/events.asp
問題
IIS5は64ビットとして存在することはありません。しかし、64ビットWindowsコンピュータ上でのIIS v6のIIS5互換モードだけは64ビットとして実行します。
原因
次のURLで参照できるドキュメントのとおり、64ビットWindowsでIIS5分離モード32ビットを実行することはアーキテクチャ上無理です。
http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.pu blic.inetserver.iis&tid=5dd07102-8896-40cc-86cb-809060fa9426&cat=en_US_ 02ceb021-bb43-476d-8f8f-6c00a363ccf5&lang=en&cr=US&p=1
http://blogs.msdn.com/david.wang/archive/2005/12/14/HOWTO-Diagnose-one-cause-of-W3 SVC-failing-to-start-with-Win32-Error-193-on-64bit-Windows.aspx
症状: Sun Webサーバーを開始しようとしたときに、次のようなエラーが発生します。
Unable to start, PCLOSE
解決策: たくさんの問題がこのエラーを引き起こす可能性があります。
obj.confファイルの構文エラー
obj.confファイルの先頭のスペース
Webサーバー・インスタンスの作成に使用したのとは異なるユーザーIDでのOracle Access Managerのインストール
obj.confファイルの最後にある改行
Oracle Access ManagerがMicrosoftのIIS Webサーバーで実行している場合、Oracle Access Managerを再インストールするときには次のISAPIフィルタを手動でアンインストールおよび再インストールする必要があります。
tranfilter.dll
oblixlock.dll(WebGateがインストール済の場合)
webgate.dll(WebGateがインストール済の場合)
Oracle Access Managerをアンインストールします。
前述のDLLを手動でアンインストールします。
Oracle Access Manager.Active Directoryを再インストールします。
DLLを手動で再インストールします。
|
注意: これらのフィルタは使用しているIISのバージョンにより異なる可能性があります。これらのフィルタが存在しないまたは別のものが存在する場合、存在するフィルタを削除する必要があるかどうかはOracleにお問い合せください。 |
問題
Windowsネイティブ認証の設定後、およびWNA保護ページにアクセスすると、ブラウザはユーザー名またはパスワード(およびその両方)が正しくないことを示すエラーを受け取ることがあります。
原因
Oracle Access Managerが使用するアイデンティティ・ストアがWindows Active Directoryを指していない可能性があります。デフォルトでは、アイデンティティ・ストアは組込みLDAPです。
解決策
OAM管理コンソールで、アイデンティティ・ストアの構成、「システム構成」、「データソース」、「ユーザー・アイデンティティ・ストア」を確認します。
LDAPストア設定がActive Directoryを指していることを確認します。
