| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-01 |
|
前 |
次 |
この付録では、Oracle Directory Integration Platformの使用時に発生する可能性のある一般的な問題とその解決策について説明します。この項の内容は、次のとおりです。
|
関連項目:
|
Oracle Directory Integration Platformの問題をトラブルシューティングする際は、次のチェックリストを使用します。
WebLogicを使用して、Oracle Directory Integration Platformアプリケーションがデプロイされているか確認します。
Oracle Directory Integration Platformアプリケーションが稼働していることを確認します。
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Directory Integration Platformアプリケーションのステータスを確認するには、Webブラウザを開き、使用する環境のOracle Enterprise Manager Fusion Middleware ControlのURLを入力します。Oracle Enterprise Manager Fusion Middleware ControlのURLの形式は、https://host:port/emです。
使用する環境のOracle Enterprise Manager Fusion Middleware Controlのホームページに含まれる「Fusion Middleware」セクションの「ステータス」列で、Oracle Directory Integration Platformアプリケーションのステータスを確認できます。
Oracle Directory Integration Platformアプリケーションのステータスをコマンドラインから確認するには、dipStatusユーティリティを使用します。Oracle Directory Integration Platformが稼働している場合、dipStatusによって、「ODIPアプリケーションがこのホストおよびポートでアクティブです。」というメッセージが返されます。
|
注意:
|
次のようにmanageSyncProfilesコマンドを使用してプロファイルの名前とステータスをリストすることで、適切なプロファイルが有効化されているか確認します。
manageSyncProfiles list -h host -p port -D user [-prfSt] [-help]
|
注意: パスワードを要求されます。 |
次のコマンドを実行して、サード・パーティのLDAPディレクトリ・サーバーが稼働しているかどうかを確認します。
ldapbind -h ldap_host -p ldap_port -D binddn -q
|
注意: パスワードを要求されます。 |
PL/SQLプラグインを使用している場合、sqlplusを使用してプロビジョニング統合アプリケーションへの接続状況を検証します。
この項では、Oracle Directory Integration Platformの一般的な問題とその解決策について説明します。この項の内容は、次のとおりです。
この項では、プロビジョニングのエラーと問題の解決策を示します。
問題
GUIDからエントリを取得できません。致命的なエラー...
解決方法
Oracle Directory Integration Platformは、削除されたものの、パージされていない可能性のあるエントリを取得しようとしています。しかし、このエラーの発生時には、エントリはすでにパージされています。今後のエラーを回避するには、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のガベージ・コレクションの管理に関する章を参照し、Oracle Internet Directoryのガベージ・コレクション・フレームワークのツームストン・パージ・コンフィギュレーション・セットを更新します。
問題
LDAP接続失敗
解決方法
Oracle Directory Integration Platformがディレクトリ・サーバーへの接続に失敗しました。ディレクトリ・サーバーへの接続を確認してください。
|
関連項目: ディレクトリ・サーバーの接続の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のディレクトリ・サーバーの管理に関する章を参照してください。 |
問題
初期化とデータベース接続の失敗、およびSQL操作のコール中の例外が発生しました。
解決方法
接続をテストするには、Oracle Enterprise Manager Fusion Middleware Controlで、プロファイルに対して「接続のテスト」機能を使用します。接続に失敗した場合、詳細については、次の場所にある診断ログ・ファイルを調べます。
MW_HOME/user_projects/domains/DOMAIN_NAME/servers/NAME_OF_MANAGED_SERVER/logs/
|
注意: ファイル名は、NAME_OF_MANAGED_SERVER-diagnostic.logです。 |
問題
プロビジョニング・プロファイルをDIPプロビジョニング・サーバーで実行できません。
解決方法
Oracle Enterprise Manager Fusion Middleware Controlまたはoidprovtoolコマンドを使用して、プロファイルが有効であること、およびOracle Directory Integration Platformのスケジューリング間隔が正の整数に設定されていることを確認してください。
問題
アプリケーション・データベースに接続できません。
解決方法
プロビジョニング・プロファイルのアプリケーション・データベース接続の要件は正しくない可能性があります。sqlplusを使用して接続要件を確認します。
問題
ユーザーまたはグループの変更イベントおよび削除イベントがアプリケーションで使用されません。
解決方法
Oracle Enterprise Manager Fusion Middleware Controlで、プロファイルに対して「接続のテスト」機能を使用して、ホストのポートの詳細情報および資格証明を確認します。「接続のテスト」オプションの使用時に接続に失敗した場合は、失敗した接続に関する情報を示すエラー・メッセージが表示されます。
失敗した接続の詳細を参照するには、Oracle Enterprise Manager Fusion Middleware Controlを使用するか、コマンドラインから、診断ログを確認します。診断ログは次の場所にあります。
MW_HOME/user_projects/domains/DOMAIN_NAME/servers/NAME_OF_MANAGED_SERVER/logs/
|
注意: ファイル名は、NAME_OF_MANAGED_SERVER-diagnostic.logです。 |
問題
バイナリ属性に対するサブスクリプションにより、イベント伝播エラーが発生しました。
解決方法
バイナリ属性の伝播はサポートされていません。プロビジョニング・ファイルのイベント・サブスクリプションから、バイナリ属性の指定を削除します。
問題
アプリケーション識別名としてプロキシの役割を果すには不十分なアクセス権限。
解決方法
Oracle Directory Integration Platformサーバー・グループには、アプリケーション識別名別の参照権限は付与されていません。ldapmodifyコマンドを使用して、アプリケーション識別名からOracle Directory Integration Platformグループへの参照権限を付与する次のACIをロードします。
orclaci: access to attr=(*) by group="cn=odisgroup,cn=DIPAdmins,cn=Directory Integration Platform,cn=products,cn=oraclecontext "(read,write,search,compare) orclaci: access to entry by group="cn=odisgroup,cn=DIPAdmins,cn=Directory Integration Platform,cn=products,cn=oraclecontext"(browse,proxy)
問題
アプリケーション識別名をプロキシとして使用するには不十分なアクセス権限。
解決方法
Oracle Directory Integration Platformサーバー・グループには、アプリケーション識別名別のプロキシ権限は付与されていません。ldapmodifyコマンドを使用して、アプリケーション識別名からOracle Directory Integration Platformグループへのプロキシ権限を付与する次のACIをロードします。
orclaci: access to entry by group=" cn=odisgroup, cn=odi,cn=oracle internet directory" (browse,proxy)
この項では、同期のエラーと問題の解決策を示します。
|
関連項目: My Oracle Support(旧MetaLink)のNote 276481.1—「Troubleshooting OID DIP Synchronization Issues」(http://metalink.oracle.com/) |
問題
LDAP: エラー・コード50 - 不十分なアクセス権限; 残りの名前 'CN=Users,dc=mycompany,dc=com'
解決方法
レコードのターゲットはデフォルト・コンテナには存在しません。DST CHANGE RECORDを検索します。ターゲット・コンテナのACIを確認します。空白の場合は、DIPテスターを使用して新しいコンテナに既知のACIセットを適用します。
問題
LDAP: エラー・コード50 - 不十分なアクセス権限; ACTIVECHGIMPマッピング、インポート操作失敗; エージェント実行成功、マッピング/IMPORT操作に失敗しました。
解決方法
デフォルトでは、cn=Users,default realmには適切なACIが含まれます。ただし、デフォルト・レルム内の異なるコンテナと同期化しようとするとこのエラーが発生することがあります。トレース・ファイルを開き、エラーの原因となっている変更レコードを見つけて、そのレコードの親コンテナのACIを確認します。ターゲット・コンテナに同じACIを適用します。
問題
ログ・ファイル・エラー: Not able to construct DN Output ChangeRecord : Changetype: 1 ChangeKey: cn=users, dc=us,dc=oracle,dc=com Exception javax.naming.ContextNotEmptyException: [LDAP: error code 66 - Not Allowed On Non-leaf]; remaining name 'cn=users,dc=us,dc=oracle,dc=com' Missing mandatory attribute(s).
解決方法
マッピング・ファイルに問題があります。My Oracle Support(旧MetaLink)のNote 261342.1 —「Understanding DIP Mapping」(http://metalink.oracle.com/)を参照してください。
問題
トレース・ファイル・エラー: IPlanetImport:Error in Mapping Enginejava.lang.NullPointerException java.lang.NullPointerException at oracle.ldap.odip.engine.Connector.setValues(Connector.java:101).
解決方法
orclcondirlastappliedchgnum属性はnullであるか、値がありません。これは、ブートストラップに失敗した場合、または、Oracle Internet Directoryへの移入を手動で行い、orclcondirlastappliedchgnum属性に値を割り当てなかった場合に発生することがあります。orclcondirlastappliedchgnum属性に値があることを確認します。値がない場合は、DIPテスター・ユーティリティまたはDIP Mbeanを構成するWLSTを使用して設定します。
問題
追加操作と変更操作は成功しますが、削除操作は失敗し、トレース・ファイルに記録されません。
解決策1
Oracle Directory Server Enterprise EditionまたはSun Java System Directory Serverでは、tombstoneは無効です。My Oracle Support(旧MetaLink)のNote 219835.1(http://metalink.oracle.com/)を参照して、tombstoneが有効化されていることを確認します。
解決策2
Microsoft Active Directoryの場合、プロファイルに使用されるアカウントは、DIR SYNCH ADMINグループのメンバーではありません。これは、Microsoft Active Directory管理者アカウントを使用していない場合にのみ、発生します。Microsoftの適切なパッチをインストールします。
問題
Oracle Directory Integrationインポート・コネクタまたはエクスポート・コネクタをサード・パーティLDAPディレクトリに対して構成した後、データの同期の問題が発生しました。
解決方法
manageSyncProfilesコマンドのtestProfile操作を使用して、原因を特定します。
問題
Oracle Enterprise Manager Fusion Middleware Controlを使用して同期プロファイルの属性マッピング・ルールを編集すると、オブジェクト・クラスに対してスキーマが初期化されていないというエラーの原因になります。
解決方法
この問題は、サード・パーティのディレクトリ接続の詳細に無効なディレクトリ・タイプが指定されているために発生することがあります。正しいディレクトリ・タイプおよび接続の詳細を指定していることを確認します。
問題
Oracle Enterprise Manager Fusion Middleware ControlのOracle Internet Directoryプロファイルは、「同期成功」と表示されますが、ディレクトリではまだ変化が見られません。
解決方法
最初に、Oracle Enterprise Manager Fusion Middleware Controlを使用して、同期プロファイルの次のパラメータを調べることにより、同期が発生したかどうかを判定します。
正常完了時間(DIP Serverホームページ)
最終実行時間(DIP Serverホームページ)
スケジューリングの間隔(プロファイルの「拡張」タブ)
正常完了時間および最終実行時間メトリックにシステムの現在時刻と関連する時刻値がある場合に、同期が発生します。これらのメトリックが、システムの現在時刻よりかなり前の時刻値を示す場合、同期は発生しません。
同期が発生している場合:
Oracle Enterprise Manager Fusion Middleware Controlの、該当するプロファイルの「マッピング」タブで、「ソース・コンテナ」設定を調べ、同期が正しい場所で発生するように構成されているか確認します。
Oracle Enterprise Manager Fusion Middleware Controlの、該当プロファイルの「フィルタリング」タブで、「ソースの一致フィルタ」設定を調べ、正しいオブジェクトがフィルタされているか確認します。
同期が発生していない場合:
Oracle Enterprise Manager Fusion Middleware ControlのDIP Serverホームページを使用して、同期プロファイルが有効化されているか確認します。
Oracle Enterprise Manager Fusion Middleware ControlのDIP Serverホームページを使用して、クォーツ・スケジューラのステータスを確認します。
manageSyncProfilesコマンドおよびそのtestProfile操作を使用して、同期プロファイルをテストします。manageSyncProfilesコマンドの詳細は、「manageSyncProfilesを使用した同期プロファイルの管理」を参照してください。
この項では、Oracle Identity ManagementをWindowsネイティブ認証と統合する際に発生する可能性のあるエラーと問題の解決策を示します。
|
注意: Oracle Directory Integration Platform 11gリリース1(11.1.1)は、Oracle Application Server Single Sign-On 10gリリース10.1.4.3.0以上をサポートしており、相互運用できます。 |
|
関連項目: Windowsネイティブ認証のエラーの詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Single Sign-On』のトラブルシューティングに関する章の、Windowsネイティブ認証エラーの問題と解決策の項を参照してください。 |
問題
内部サーバー・エラーです。管理者に連絡してください。
解決方法
Windowsネイティブ認証が中間層コンピュータで正しく構成されていません。この問題を修正するには、次の手順を実行します。
opmn.logファイルでエラーをチェックします。
ssoServer.logファイルでエラーをチェックします。
keytabファイルが$ORACLE_HOME/j2ee/OC4J_SECURITY/configディレクトリにあり、jazn-data.xmlファイルで構成されたプリンシパル名が正しいことを確認します。
Key Distribution Centerにアクセスできるように、シングル・サインオンの中間層コンピュータが正しく構成されていることを確認します。
問題
KDCで認証できませんでした。
解決方法
このエラー・メッセージは、krb5.confでレルム名が誤って構成されている場合に表示されることがあります。/etc/krb5/krb5.confでdefault_realmおよびdomain_realmの値を確認します。レルム名は大/小文字が区別されることに注意してください。
問題
ブラウザがWindowsのKerberos認証をサポートしていないか適切に構成されていません。
解決方法
ユーザーのWebブラウザはサポートされていないか、正しく構成されていません。「タスク2: Windowsネイティブ認証用のInternet Explorerの構成」の指示に従います。
問題
「アクセスが許可されていません」、HTTPエラー・コード403、または「Windowsのネイティブ認証に失敗しました。管理者に連絡してください。」
解決方法
これらのエラー・メッセージの共通の原因は、Oracle Internet Directoryでユーザー・エントリが見つからないことです。Windowsデスクトップで作業しているローカル管理者が、エントリがOracle Internet Directoryと同期化されていない可能性のあるシングル・サインオン・パートナ・アプリケーションにアクセスしようとしている場合があります。ユーザー・エントリがディレクトリ内に存在するかどうか、およびユーザーのKerberosプリンシパル属性がMicrosoft Active Directoryから適切に同期化されるかどうかを判断します。
問題
パートナ・アプリケーションにアクセスすると、Windowsのログイン・ダイアログ・ボックスが(ユーザー名、パスワードおよびドメイン・フィールド付きで)表示されます。
解決方法
Oracle Internet Directoryで対応するユーザー・エントリが見つからないため、Single Sign-On ServerでKerberosトークンを認証できませんでした。ディレクトリにユーザー・エントリを追加します。
問題
Single Sign-On Serverが起動しません。ログ・ファイルに「Credential not found.」というメッセージの例外があります。
解決方法
パラメータkerberos-servicenameが正しく構成されていない可能性があります。この問題を修正するには、次の手順を実行します。
ファイルorion-application.xmlおよびjazn-data.xmlでkerberos-servicenameが正しく構成されていることを確認します。orion-application.xmlの場合、このパラメータの形式はHTTP@sso.mycompany.comです。jazn-data.xmlの場合、形式はHTTP/sso.mycompany.comです。
ssoServer.logファイルでエラーをチェックします。
keytabファイルが$ORACLE_HOME/j2ee/OC4J_SECURITY/configディレクトリにあり、jazn-data.xmlで構成されたプリンシパル名が正しいことを確認します。
Kerberosドメイン・コントローラにアクセスできるように、シングル・サインオンの中間層コンピュータが構成されていることを確認します。
問題
OracleAS Single Sign-On Server Configuring Assistantの実行時に、次の例外が発生します。
Repository Access API throws exception :
oracle.ias.repository.schema.SchemaException: Unable to establish secure
connection to Oracle Internet Directory Server
ldap://server.mycompany.com:636/ Base Exception :
javax.naming.CommunicationException: server.mycompany.com:636 [Root
exception is java.lang.UnsatisfiedLinkError: no njssl10 in java.library.path]
at
oracle.ias.repository.directory.DirectoryReader.connectSsl(DirectoryReader.java:
98)
at
oracle.ias.repository.directory.DirectoryReader.connect(DirectoryReader.java:106
)
at oracle.ias.repository.IASSchema.getDBPassword(IASSchema.java:440)
at
oracle.ias.repository.SchemaManager.getDBPassword(SchemaManager.java:310)
at oracle.security.sso.IMWNAConfig.getSSOHost(IMWNAConfig.java:903)
at oracle.security.sso.IMWNAConfig.parseArgs(IMWNAConfig.java:168)
at oracle.security.sso.IMWNAConfig.init(IMWNAConfig.java:194)
at oracle.security.sso.IMWNAConfig.work(IMWNAConfig.java:60)
at oracle.security.sso.SSOConfigAssistant.wnaConfig(SSOConfigAssistant.java:243)
at oracle.security.sso.SSOConfigAssistant.main(SSOConfigAssistant.java:218)
解決方法
OracleAS Single Sign-On Server Configuring AssistantのWindows版がUNIXおよびLinuxプラットフォームで実行される場合に、この例外が発生します。「各Oracle Application Server Single Sign-OnホストでのOracleAS Single Sign-On Server Configuration Assistantの実行」の指示に従い、OracleAS Single Sign-On Server Configuring AssistantのUNIX/Linux版を実行します。
問題
Windowsネイティブ認証で、Internet ExplorerがKerberos資格証明のかわりにNT Lan Manager(NTLM)認証を送信しています。
解決方法
この問題は、不適切に構成されたMicrosoft Active Directoryのインストールに起因します。この問題の解決方法の詳細は、Microsoft Active Directoryのドキュメントを参照するか、またはMicrosoftに連絡してください。
問題
個別ユーザーが、Windowsネイティブ認証を使用して特定のコンピュータからログインできません。
解決方法
ユーザーが別のコンピュータを使用してログインできる場合、元のコンピュータのWindowsまたはInternet Explorerの構成に問題があります。この問題の解決方法の詳細は、Microsoft Developer Network(http://msdn.microsoft.com)を参照するか、またはMicrosoftに連絡してください。
この項では、Novell eDirectoryとOpenLDAPで発生する可能性のある同期のエラーと問題に対する解決策を示します。
問題
インポート同期の構成後、プロファイルの同期ステータスは成功で、トレース・ファイルに例外が示されていないにもかかわらず、Novell eDirectoryまたはOpenLDAPからOracle Internet Directoryにエントリが同期化されません。
考えられる原因と解決策は、次のとおりです。
原因 誤った値がインポート・プロファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータに割り当てられています。
解決策 接続識別名を、Novell eDirectoryまたはOpenLDAPのエクスポート・プロファイルからインポート・プロファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータにコピーします。
原因 Oracle Directory Integration Platformが同期化しようとしたエントリが、インポート・ファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータに割り当てられたものと同じ識別名を使用して作成されています。
解決策 インポート・ファイルのodip.profile.condirfilterプロパティのmodifiersnameパラメータに割り当てられている識別名を、Novell eDirectoryまたはOpenLDAPでエントリを作成しない識別名に変更します。
原因 Oracle Internet Directoryを実行しているコンピュータと、Novell eDirectoryまたはOpenLDAPを実行しているコンピュータとの間に時間差があります。
解決策 インポート・ファイルのodip.profile.configfileプロパティのReduceFilterTimeInSecondsパラメータに、2つのコンピュータ間の時間差と等しい秒数を値として割り当てます。
問題
リコンシリエーション時にスローされたサポート外の例外。
解決方法
Novell eDirectoryまたはOpenLDAPのリコンシリエーション・ルールに指定されているOracle Internet Directoryの属性の1つ以上が索引付けされていません。Oracle Internet Directoryの対応する属性を索引付けします。
問題
プロファイルのリコンシリエーション・ステータスは成功であるにもかかわらず、Novell eDirectoryまたはOpenLDAPからOracle Internet Directoryに削除済エントリが同期化されません。
考えられる原因と解決策は、次のとおりです。
原因 削除済エントリがNovell eDirectoryまたはOpenLDAPのリコンシリエーション・ルールに指定されていません。
解決策 Novell eDirectoryまたはOpenLDAPのリコンシリエーション・ルールを変更して、削除済エントリを含めます。
原因 Novell eDirectoryまたはOpenLDAPに特定のリコンシリエーション・ルールに関するエントリがOracle Internet Directoryよりも多く存在します。
解決策 次のメッセージがないか、$ORACLE_HOME/ldap/odi/log/profile_name.trcファイルを調べてください。
No. of entries are less in destination directory compared to source directory.
このメッセージは、通常、Novell eDirectoryまたはOpenLDAP DIT全体をOracle Internet Directoryと同期化する必要がある場合に生成されます。この問題を解決するには、odip.profile.configfileプロパティのCheckAllEntriesパラメータにtrue値を割り当てます。
|
注意: odip.profile.configfileプロパティのCheckAllEntriesパラメータにtrue値を指定すると、パフォーマンスが低下します。 |
この項では、Oracle Password Filter for Microsoft Active Directoryで発生する可能性のあるエラーと問題に対する解決策を示します。
問題
Oracle Password Filter for Microsoft Active Directoryをインストールできず、次のエラーがログに報告されます。
(Aug 23, 2010 8:26:52 PM), Install, com.oracle.installshield.adpwd.ldapModify, dbg, C:\Program Files (x86)\oracle\ADPasswordFilter\prepAD.ldif
(Aug 23, 2010 8:26:52 PM), Install, com.oracle.installshield.adpwd.ldapModify, err, in LDAPOperation
(Aug 23, 2010 8:26:52 PM), Install, com.oracle.installshield.adpwd.ldapModify, err, [LDAP: error code 19 - 000020B5: AtrErr: DSID-03152704, #1:
0: 000020B5: DSID-03152704, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 9030e (objectCategory)
原因
このエラーは、ActiveDirectoryのschemaNamingContextオブジェクトがdefaultNamingContextの下にない場合に発生することがあります。
解決方法
この問題を解決するには、次のいずれかを行います。
prepAD.ldifのObjectCategory属性を、CN=Organizational-Unit, schemaNamingContext値に置き換えます(schemaNamingContextはスキーマ名コンテキスト値で置き換えられます)。
prepAD.ldifからObjectCategory属性を削除します。エントリがActiveDirectoryに追加されるため、objectcategory属性には自動的に正常な値が移入されます。
問題
ログ・ファイル・パスが見つかりません。
原因
ログ・ファイル・パスが無効です。
解決方法
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、有効なログ・ファイル・パスを指定します。
問題
非SSLモードでOracle Internet Directoryに接続できません。
原因
Oracle Internet Directoryのコンフィギュレーション・セットが無効です。
解決方法
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Oracle Internet Directoryのコンフィギュレーション・セットを修正します。
問題
SSLモードでOracle Internet Directoryに接続できません。
原因
Oracle Internet Directoryの認証局の信頼できる証明書がMicrosoft Active Directoryドメイン・コントローラにインポートされていません。
解決方法
「Microsoft Active Directoryドメイン・コントローラへの信頼できる証明書のインポート」の指示に従い、Microsoft Active Directoryに信頼できる証明書をインポートします。
問題
Microsoft Active Directoryに接続できません。
原因
Microsoft Active Directoryの構成設定が無効です。
解決方法
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Microsoft Active Directoryの構成設定を修正します。
問題
prepAD.ldifファイルをアップロードできません。
原因
指定されたMicrosoft Active DirectoryのベースDNコンテナにorganizationalUnitオブジェクトを格納できません。
解決方法
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、organizationalUnitオブジェクトを格納できるMicrosoft Active DirectoryのベースDNを指定します。
問題
パスワード更新がOracle Internet DirectoryとMicrosoft Active Directoryの間でループしています。
原因
Oracle Password Filterが、Microsoft Active DirectoryからOracle Internet Directoryに値をインポートする同期プロファイルに指定されているものと同じバインドDNとパスワードを使用するように構成されていません。
解決方法
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Microsoft Active DirectoryからOracle Internet Directoryに値をインポートする同期プロファイルに指定されているものと同じバインドDNとパスワードを使用するようにOracle Password Filterを構成します。
問題
一部のパスワードが、Oracle Internet DirectoryとMicrosoft Active Directoryの間で同期化されません。
原因
Oracle Internet DirectoryとMicrosoft Active Directoryで、競合するパスワード・ポリシーを指定しています。
解決方法
Oracle Internet Directoryのパスワード・ポリシーをMicrosoft Active Directoryに設定されているものと同じポリシーに設定するか、Oracle Internet Directoryからパスワード・ポリシーを削除します。
問題
一部のユーザーについて、パスワードが同期化されません。
原因
Oracle Password Filterの拡張インストールを実行して、Oracle Internet DirectoryとMicrosoft Active Directoryの間で同期化する属性に異なる値を指定しています。
解決方法
「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従い、Oracle Internet DirectoryとMicrosoft Active Directoryの間で同期化する属性に対して、同じ値を指定します。
問題
ユーザー・データは同期化されますが、パスワードの同期化が遅延します。
原因
ユーザー・データの同期とパスワードの同期に、異なる時間間隔が指定されています。
解決方法
Oracle Password FilterのSleepTimeパラメータに割り当てられる値が、同期プロファイルのデフォルトのスケジューリング間隔と同じであることを確認します。Oracle Enterprise Manager Fusion Middleware ControlツールまたはmanageSyncProfilesコマンドを使用して、同期プロファイルのデフォルトのスケジューリング間隔を表示および変更できます。SleepTimeパラメータに割り当てられている値を変更するには、「Oracle Password Filter for Microsoft Active Directoryの再構成」の指示に従います。
この項では、Oracle Internet Directoryプロビジョニング・コンソールでプロビジョニング問題をトラブルシューティングする方法について説明します。この項の内容は、次のとおりです。
Oracle Delegated Administration Services診断設定を使用すると、ログ・ファイルを調べることなく、Oracle Internet Directoryプロビジョニング・コンソールでプロビジョニング問題をデバッグできます。診断設定の表示および構成の詳細は、『Oracle Fusion Middleware Guide to Delegated Administration for Oracle Identity Management』のOracle Internet Directoryセルフ・サービス・コンソールを使用したユーザーおよびグループの管理に関する章を参照してください。
Oracle Internet Directoryへのプロビジョニング統合アプリケーションのインストール後、そのアプリケーションはアプリケーション・キャッシュをリロードするまでプロビジョニング・コンソールに表示されません。また、Oracle Internet Directoryでプロビジョニング統合アプリケーションが有効化または無効化された場合も、アプリケーション・キャッシュをリロードする必要があります。
Oracleプロビジョニング・サービスでは、プラグインを使用して新規ユーザーを作成します。この項の内容は次のとおりで、Oracleプロビジョニング・サービスのプラグインをトラブルシューティングしてユーザー作成の問題を解決する方法について説明します。
プロビジョニング統合アプリケーションでは、プロビジョニング・インテリジェンス機能を拡張してビジネス・ポリシーを実装するために、プレデータ・エントリ・プラグインとポストデータ・エントリ・プラグインを起動できます。この項では、両方のプラグインに関する問題をトラブルシューティングする方法について説明します。
プレデータ・エントリ・プラグインの主な目的は、ユーザーを、汎用プロビジョニングウィンドウで選択されたアプリケーションにプロビジョニングするかどうかを決定することです。ユーザーがアプリケーションに対するプロビジョニング権限を持つ場合、プレデータ・エントリ・プラグインはアプリケーションのプロビジョニング・ポリシーに従って次のウィンドウ(「アプリケーション・プロビジョニング」ウィンドウ)でフィールドの移入を行います。
プレデータ・エントリ・プラグインに関する問題が生じた場合、例外メッセージおよびスタック・トレースを含むエラーが汎用プロビジョニングウィンドウに表示されます。スタック・トレースで次の行を見つけて、プラグインに渡されたユーザー属性を検索できます。
******preplugin base user prop set for <Application Name> …
次の行を検索して、ログ・ファイルでエラーを確認できます。
oracle.idm.provisioning.plugin.PluginException
ポストデータ・エントリ・プラグインは、ユーザーによって入力された共通属性とアプリケーション固有属性に関するデータを検証します。プロビジョニングを続けるためには、このプラグインでの検証に成功する必要があります。
ポストデータ・エントリ・プラグインに関する問題が生じた場合、エラーが「アプリケーション属性」ウィンドウに表示されます。例外のスタック・トレースは次の行の後にあります。
UserPlguInMgmt::postPlugInProcess(): apptype <Application Type> appname <Application Name> error when executing plugin logics
プロビジョニング統合アプリケーションは、PL/SQLプラグインまたはデータ・アクセスJavaプラグインを通じてプロビジョニングされます。PL/SQLプラグインは、Oracle Directory Integration Platformによって起動されますが、データ・アクセスJavaプラグインは、Oracle Delegated Administration Servicesによって直接起動されます。
時々、特定のアプリケーションのプロビジョニングが失敗しても、ユーザー作成は成功する場合があります。「確認」ウィンドウで「送信」をクリックした後で、プロビジョニング・エラー・メッセージとともに警告ステータスを受信した場合に、プロビジョニングが失敗したことがわかります。失敗の詳細は、ログ・ファイルで「Data Access plug-in execution failure」を検索します。この文の後の行には、プロビジョニングが失敗した理由の詳細が示されます。
ユーザー・エントリのプロビジョニング・ステータスは、プロビジョニング問題の識別に役立ちます。
ユーザー・エントリのプロビジョニング・ステータスを参照するには、次の手順を実行します。
プロビジョニング・コンソールで、「ディレクトリ」タブを選択し、次に「ユーザー」を選択します。「ユーザーの検索」ウィンドウが表示されます。
「ユーザーの検索」フィールドで、ユーザーの名、姓、電子メール・アドレスまたはユーザーIDの最初の何文字かを入力します。たとえば、Anne Smithを検索する場合は、AnnまたはSmiと入力できます。ディレクトリ内の全ユーザーのリストを生成するには、このフィールドを空白のままにします。
「実行」をクリックして検索結果を表示します。
参照するエントリを保持するユーザーを選択し、「表示」をクリックして「ユーザーの表示」ウィンドウを表示します。
このウィンドウの詳細は、『Oracle Fusion Middleware Guide to Delegated Administration for Oracle Identity Management』を参照してください。
「ユーザーの表示」ウィンドウで、プロビジョニング・ステータス表のエントリを調べます。アプリケーションの「プロビジョニング・ステータス」列にPROVISIONING_FAILURE値が含まれる場合、「プロビジョニング・ステータスの説明」列には、失敗の理由を説明する次のいずれかの値が含まれます。
PROVISIONING_REQUIRED
PENDING_UPGRADE
PROVISIONING_NOT_REQUIRED
PROVISIONING_FAILURE
アカウント作成後にユーザーがログインできないという典型的な問題を解決するには、次の手順を実行します。
「プロビジョニング・ステータスを使用した問題の識別」の指示に従い、ユーザー・プロビジョニング・ステータスを調査してユーザーが適切にプロビジョニングされていないアプリケーションを特定します。
ユーザーが適切にプロビジョニングされていないアプリケーションのプロビジョニング方式を特定します。
Oracle Internet Directoryプロビジョニング・コンソールで作成されたユーザー・アカウントの場合、Oracle Delegated Administration Servicesの次のログ・ファイルを調べます。
$ORACLE_HOME/opmn/logs/OC4J~OC4J_SECURITY~default_island~1
PL/SQLプラグインまたはデータ・アクセスJavaプラグインで作成されたユーザー・アカウントの場合、次の診断ログ・ファイルを調べます。
MW_HOME/user_projects/domains/DOMAIN_NAME/servers/NAME_OF_MANAGED_SERVER/logs/
|
注意: ファイル名は、NAME_OF_MANAGED_SERVER-diagnostic.logです。 |
Oracle Enterprise Manager Fusion Middleware Controlを使用して、プロビジョニング統合プロファイルのプロビジョニング実行ステータスを監視できます。
Oracle Enterprise Manager Fusion Middleware Controlのメイン・ページの「スタンドアロン・インスタンス」セクションで、管理するOracle Fusion Middlewareインスタンスの名前を選択します。選択されたインスタンスに対して、Oracle Fusion Middlewareのホーム・ページが開かれます。
「システム・コンポーネント」表の「名前」列でOIDを選択します。「Oracle Internet Directory」ページが開かれます。必須のパッケージが適切にインストールされている場合、ステータスは緑色になります。これは、Oracle Directory Integration Platformが実行されているかいないかを示すものではありません。
サーバーのステータスを確認するには、「ディレクトリ統合」を選択し、「ディレクトリ統合プラットフォーム・ステータス」ページを表示します。このページには、プロビジョニングと同期の両方のインスタンスを含め、Oracle Directory Integration Platformの様々な実行中のインスタンスが表示されます。このウィンドウで、プロビジョニング統合プロファイルについて表示される主なデータは次のとおりです。
サブスクライブ・アプリケーションの名前
サブスクリプションが行われた企業の名前
プロファイルのステータス(ENABLED、DISABLEDまたはDISCARDED)
プロファイルで示されるアプリケーションへのイベント伝播に使用されたOracle Internet Directory内の変更キー
最終実行時間
プロファイルの最終正常実行時間
エラー(存在する場合)
|
注意: 「ディレクトリ統合プラットフォーム・ステータス」ページには、このプロファイルの各種イベント・サブスクリプションは表示されません。 |
操作の引数statusを指定してoidprovtoolユーティリティを実行することによって、プロビジョニング統合のステータスに関する詳細な出力を取得することもできます。oidprovtoolユーティリティは$ORACLE_HOME/binディレクトリにあります。
この項では、Oracle Directory Integration Platformとの同期に関する問題をトラブルシューティングする方法について説明します。この項の内容は、次のとおりです。
Oracle Internet Directoryと接続ディレクトリ間の同期に関する問題をデバッグする場合、Oracle Directory Integration Platformの同期プロセスの流れを理解することが役立ちます。
Oracle Directory Integration Platformでは、起動時にすべてのインポート・プロファイルを読み取ります。ENABLEに設定されているプロファイルごとに、同期プロセスの間に、Oracle Directory Integration Platformにより次のタスクが実行されます。
サード・パーティ・ディレクトリに接続します。
接続ディレクトリから最終変更キーの値を取得します。
Oracle Internet Directoryに接続します。
プロファイルの最後に適用された変更キーの値をOracle Internet Directoryから取得します。
Oracle Directory Server Enterprise Edition(以前のSun Java System Directory Server)接続の場合、Oracle Directory Integration Platformは、リモート変更ログで、最後に適用された変更キーの値より大きいエントリと、最終変更キーの値以下のエントリを検索します。Microsoft Active Directory接続の場合、Oracle Directory Integration Platformはリモート・ディレクトリのUSNChanged値でこの情報を検索します。Novell eDirectoryおよびOpenLDAPコネクタの場合、変更は各エントリのmodifytimestamp属性に基づいて識別されます。Oracle Human Resourcesコネクタなど、他のタイプのコネクタの場合、Oracle Directory Integration Platformは類似のタイプの検索を実行しますが、データの交換方法は接続のタイプによって異なります。
データ値を接続ディレクトリからOracle Internet Directoryの値へマップします。
Oracle Internet Directory変更レコードを作成します。
Oracle Internet Directoryで変更を適用(追加、変更、削除)します。
Oracle Internet Directoryインポート・プロファイルを、最終実行時間と接続ディレクトリから最後に適用された変更キーで更新します。
同期の間隔として指定された秒数のスリープ・モードに入ります。
Oracle Directory Integration Platformでは、起動時にすべてのエクスポート・プロファイルを読み取ります。ENABLEに設定されているプロファイルごとに、同期プロセスの間に、Oracle Directory Integration Platformにより次のタスクが実行されます。
サード・パーティ・ディレクトリに接続します。
Oracle Internet Directoryに接続します。
最終変更キーの値をOracle Internet Directoryから取得します。
プロファイルの最後に適用された変更キーの値をOracle Internet Directoryから取得します。
Oracle Directory Integration Platformは、Oracle Internet Directoryの変更ログで、最後に適用された変更キーの値より大きいエントリと、最終変更キーの値以下のエントリを検索します。
データ値をOracle Internet Directoryから接続ディレクトリの値へマップします。
変更レコードを作成します。
接続ディレクトリに変更を適用(追加、変更、削除)します。
Oracle Internet Directoryエクスポート・プロファイルを、最終実行時間とOracle Internet Directoryから最後に適用された変更キーで更新します。
同期の間隔として指定された秒数のスリープ・モードに入ります。
この項では、同期プロファイルの登録に関する情報を提供します。
DISABLED状態で登録されているプロファイルの検証
登録されているプロファイルの検証は必須ではありません。ただし、検証がプロファイル作成の妨げにならないかぎり、登録済プロファイルを検証できます。
検証が失敗したDISABLEDプロファイルの登録
DISABLED状態のプロファイルの検証が失敗しても、そのプロファイルは登録されたままです。DISABLED状態のプロファイルは、エラーがあるか、ターゲット・システム・ディレクトリへの資格証明が不明である可能性がありますが、これは、プロファイルの登録を妨げるものではありません。
プロファイル・エラーの修正
サード・パーティのディレクトリ・パスワードが誤っているなどの原因でプロファイルの登録中にエラーを受信した場合、manageSyncProfilesコマンドライン・ツールを使用してプロファイルのエラーを修正します。詳細は、「manageSyncProfilesを使用した同期プロファイルの管理」を参照してください。
この項では、Oracle Directory Integration Platformのdiagnostic.logファイルの概要を説明します。このファイルは次の場所にあります。
MW_HOME/user_projects/domains/DOMAIN_NAME/servers/NAME_OF_MANAGED_SERVER/logs/
|
注意: ファイル名は、NAME_OF_MANAGED_SERVER-diagnostic.logです。 |
下記はdiagnostic.logファイルの例で、セクションに分割され、Oracle Directory Integration Platformのトラブルシューティングを行うときに役立つ情報を識別するための注釈が付けられています。注目すべき情報は太字で示され、テキストHost: HOST_NAME: PORTは、Oracle Directory Integration Platformが接続しているマシンのホスト名およびポートを示します。
起動情報
diagnostic.logファイルの次のセクションは、Oracle Directory Integration Platformの起動に関連する情報を示しています。このセクションでは、次のことに注意してください。
SSL Mode: 1は、Oracle Internet Directoryへの接続に使用される接続モードを示します。SSL Mode: 1またはSSL Mode: 2が表示されます。SSL Mode: 2が表示される場合、Oracle Directory Integration PlatformはOracle Internet Directoryへの接続に証明書を使用します。
Scheduler initializedは、プロファイル・スケジューラが適切に初期化されたことを示します。Oracle Internet Directoryサーバーへの接続に成功したことを示す文字列が続きます。
スキーマ・オブジェクトが初期化され、プロファイルの同期がスケジュールされます。
[2009-02-18T00:52:27.530-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: [ACTIVE].ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Copyright (c) 1982, 2009 Oracle. All rights reserved [2009-02-18T00:52:27.550-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: [ACTIVE].ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] SSL Mode : 1 [2009-02-18T00:52:27.554-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: [ACTIVE].ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Host: HOST_NAME: PORT [2009-02-18T00:52:38.104-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Scheduler intialized [2009-02-18T00:52:47.273-08:00] [wls_ods1] [NOTIFICATION] [DIP-10571] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Connection to LDAP Server Successful [2009-02-18T00:52:47.334-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] OBJECT_SCHEMA_READER_INITIALIZING [2009-02-18T00:52:47.508-08:00] [wls_ods1] [NOTIFICATION] [DIP-10572] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Object Schema Reader Initialized. [2009-02-18T00:52:47.510-08:00] [wls_ods1] [NOTIFICATION] [DIP-10573] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Event Schema Reader Initialized. [2009-02-18T00:52:48.198-08:00] [wls_ods1] [NOTIFICATION] [DIP-10574] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Data transfer interface defn initialized [2009-02-18T00:52:48.213-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] INITALIZE_PROVJOBS [2009-02-18T00:52:48.773-08:00] [wls_ods1] [NOTIFICATION] [DIP-10566] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] [arg: \n----------EVENT TYPE CONFIGURATION ---------------\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: inetorgperson,orcluserv2\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: orclservicesubscriptiondetail\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: *\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: inetorgperson,orcluserv2\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: orclsubscriber\n--------------------------------\nEventLDAPChangeType : ADD,MODIFY,DELETE\nobjectclass: orclgroup,orclprivilegegroup,groupofuniquenames,groupofnames\n------------------------------------- -------------] Print Event Type Configuration...[[ ----------EVENT TYPE CONFIGURATION --------------- -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: inetorgperson,orcluserv2 -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: orclservicesubscriptiondetail -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: * -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: inetorgperson,orcluserv2 -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: orclsubscriber -------------------------------- EventLDAPChangeType : ADD,MODIFY,DELETE objectclass: orclgroup,orclprivilegegroup,groupofuniquenames,groupofnames -------------------------------------------------- ]] [2009-02-18T00:52:48.826-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] INITALIZE_SYNCJOBS [2009-02-18T00:52:50.804-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] Job submission successfulActiveExport SYNC_JOB 60 [2009-02-18T00:52:50.809-08:00] [wls_ods1] [NOTIFICATION] [EVENT_NOT_ENABLED] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] [2009-02-18T00:52:52.184-08:00] [wls_ods1] [NOTIFICATION] [DIP-10605] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8^kIXF0FQ6ubn3EH19awhV000001,0] [APP: DIP#11.1.1.1.0] [arg: ActiveExport] Profile : ActiveExport added successfully for scheduling.
UpdateThreadによるプロファイル内の変更の検出
diagnostic.logファイルの次のセクションには、同期プロファイルおよびプロビジョニング・プロファイルに対して行われた変更を検出するUpdateThreadジョブに関連する情報が表示されます。UpdateThreadによって変更が確認されると、プロファイルは変更され、再スケジュールされます。このセクションでは、次のことに注意してください。
[2009-02-18T01:20:42.501-08:00] [wls_ods1] [NOTIFICATION] [DIP-10580] [oracle.dip] [tid:
UpdateThread] [userId: <anonymous>] [ecid: 0000Hy8fyF1F0FQ6ubn3EH19ax8V000003,0] [APP:
DIP#11.1.1.1.0] [arg:
(&(objectclass=changelogentry)(changenumber>=3340)(|(targetdn=*cn=Profiles,cn=Provisioning,cn=Direc
tory Integration Platform,cn=Products,cn=OracleContext)(targetdn=*cn=event definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)(targetdn=*cn=object definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)))] Changelog Filter :
(&(objectclass=changelogentry)(changenumber>=3340)(|(targetdn=*cn=Profiles,cn=Provisioning,cn=Direc
tory Integration Platform,cn=Products,cn=OracleContext)(targetdn=*cn=event definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)(targetdn=*cn=object definitions,cn=directory
integration platform,cn=products,cn=oraclecontext)))
プロファイル初期化
diagnostic.logファイルの次のセクションは、プロファイル初期化に関連する情報を示しています。このセクションでは、ActiveImportプロファイルがスケジュールされていることに注意してください。
[2009-02-18T02:26:19.604-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] INITALIZE_SYNCJOBS [2009-02-18T02:26:19.695-08:00] [wls_ods1] [NOTIFICATION] [] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] Job submission successfulActiveImport SYNC_JOB 60 [2009-02-18T02:26:19.703-08:00] [wls_ods1] [NOTIFICATION] [EVENT_NOT_ENABLED] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] [2009-02-18T02:26:19.741-08:00] [wls_ods1] [NOTIFICATION] [DIP-10605] [oracle.dip] [tid: Scheduler] [userId: <anonymous>] [ecid: 0000Hy8unSqF0FQ6ubn3EH19ay88000001,0] [APP: dipapp#11.1.1.1.0] [arg: ActiveImport] profile added successfully for scheduling : ActiveImport
データベース障害
diagnostic.logファイルの次のセクションには、データベースが稼働していない場合に表示されるメッセージが表示されます。
Feb 18, 2009 3:01:19 AM org.quartz.impl.jdbcjobstore.JobStoreSupport$ClusterManager manage
SEVERE: ClusterManager: Error managing cluster: Failed to obtain DB connection from data source
'schedulerDS': java.sql.SQLException: Could not retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications..
org.quartz.JobPersistenceException: Failed to obtain DB connection from data source 'schedulerDS':
java.sql.SQLException: Could not retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications.. [See nested exception: java.sql.SQLException: Could not
retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications..]
at org.quartz.impl.jdbcjobstore.JobStoreSupport.getConnection(JobStoreSupport.java:636)
at org.quartz.impl.jdbcjobstore.JobStoreTX.getNonManagedTXConnection(JobStoreTX.java:72)
at org.quartz.impl.jdbcjobstore.JobStoreSupport.doCheckin(JobStoreSupport.java:3070)
at org.quartz.impl.jdbcjobstore.JobStoreSupport$ClusterManager.manage(JobStoreSupport.java:3713)
at org.quartz.impl.jdbcjobstore.JobStoreSupport$ClusterManager.run(JobStoreSupport.java:3749)
Caused by: java.sql.SQLException: Could not retrieve datasource via JNDI url 'jdbc/schedulerDS'
weblogic.jdbc.extensions.PoolDisabledSQLException:
weblogic.common.resourcepool.ResourceDisabledException: Pool schedulerDS is disabled, cannot
allocate resources to applications..
at org.quartz.utils.JNDIConnectionProvider.getConnection(JNDIConnectionProvider.java:166)
at org.quartz.utils.DBConnectionManager.getConnection(DBConnectionManager.java:112)
at org.quartz.impl.jdbcjobstore.JobStoreSupport.getConnection(JobStoreSupport.java:633)
正常な同期操作
diagnostic.logファイルの次のセクションには、ユーザーの正常な初期化が表示されます。
QuartzJobListener says: Job ActiveImport Is about to be executed.Wed Feb 18 03:36:00 PST 2009 createChangeRecord:ChangeRecord : ---------- Changetype: ADDRMODIFY ChangeKey: cn=myuser2,cn=users,dc=imtest,dc=com Attributes: Class: null Name: userprincipalname Type: null ChgType: DELETE Value: [ ] Class: null Name: givenname Type: null ChgType: DELETE Value: [ ] Class: null Name: employeeid Type: null ChgType: DELETE Value: [ ] Class: null Name: physicaldeliveryofficename Type: null ChgType: DELETE Value: [ ] Class: null Name: title Type: null ChgType: DELETE Value: [ ] Class: null Name: mobile Type: null ChgType: DELETE Value: [ ] Class: null Name: telephonenumber Type: null ChgType: DELETE Value: [ ] Class: null Name: facsimiletelephonenumber Type: null ChgType: DELETE Value: [ ] Class: null Name: l Type: null ChgType: DELETE Value: [ ] Class: null Name: thumbnailphoto Type: null ChgType: DELETE Value: [ ] Class: null Name: samaccountname Type: nonbinary ChgType: REPLACE Value: [MyUser2] Class: null Name: objectsid Type: nonbinary ChgType: REPLACE Value: [[B@1b994c4] Class: null Name: objectguid Type: nonbinary ChgType: REPLACE Value: [[B@1b990b5] Class: null Name: distinguishedname Type: nonbinary ChgType: REPLACE Value: [CN=MyUser2,CN=Users,DC=imtest,DC=com] Class: null Name: cn Type: nonbinary ChgType: REPLACE Value: [MyUser2] Class: null Name: objectclass Type: nonbinary ChgType: REPLACE Value: [top, person, organizationalPerson, user] ----------- copying : changeRecord to dstchange for writing In DIPSYNC: doOneIteration():execMapping status0 QuartzJobListener says: Job ActiveImport was executed.Wed Feb 18 03:36:00 PST 2009
この項では、Microsoft Active Directoryとの統合に関する問題をトラブルシューティングする方法について説明します。この項の内容は、次のとおりです。
Windowsネイティブ認証の構成後(「Windowsネイティブ認証の構成」を参照)、実行時にこの機能のロギングを有効にできます。opmn.xmlファイル($ORACLE_HOME/opmn/confにある)を開き、次のパラメータを追加します。
-Djazn.debug.log.enable = {true | false}
パラメータにtrueの値を指定するとデバッグが有効になり、falseの値を指定すると無効になります。
次の例の太字は、opmn.xmlファイルでパラメータを置く位置を示しています。
<process-type id="OC4J_SECURITY" module-id="OC4J">
<environment>
<variable id="DISPLAY" value="sun1.us.oracle.com:0.0"/>
<variable id="LD_LIBRARY_PATH" value="/private/ora1012/OraHome1/lib"/>
</environment>
<module-data>
<category id="start-parameters">
<data id="java-options" value="-server -Djazn.debug.log.enable=true
-Djava.security.policy=/private/ora1012/OraHome1/j2ee/OC4J_SECURITY/
config/java2.policy -Djava.awt.headless=true -Xmx512m
-Djava.awt.headless=true"/>
<data id="oc4j-options" value="-properties"/>
</category>
<category id="stop-parameters">
<data id="java-options" value="-Djava.security.policy=/private/ora1012/
OraHome1/j2ee/OC4J_SECURITY/config/java2.policy -Djava.awt.headless=true"/>
</category>
ログは、$ORACLE_HOME/opmn/logsにあるOC4J~OC4J_SECURITY~default_island~1ファイルに書き込まれます。
|
注意: 保護されたアプリケーションにWindowsネイティブ認証でアクセスすると、Webブラウザは、Oracle Enterprise Managerによって記録される「401 - Unauthorized」エラーを自動的に返します。これは通常の動作で、無視してもかまいません。 |
|
関連項目:
|
Oracle Internet Directoryが利用できない場合、変更はMicrosoft Active Directoryに格納されます。Oracle Internet Directoryでの接続のリストア後、Oracle Password Filter for Microsoft Active Directoryはこれらのエントリを同期化しようとします。SearchDeltaSizeパラメータによって、同期サイクルの各反復中に処理される増分変更の数が決定されます。デフォルトでは、SearchDeltaSizeパラメータには500という値が割り当てられます。Oracle Internet Directoryが利用できない期間によっては、SearchDeltaSizeの500というデフォルト値は、同期化されていないすべての変更に遡及するには小さすぎる場合があります。この問題を解決するには、Microsoft Active Directoryの既存のインポート同期プロファイルをコピーし、SearchDeltaSizeパラメータに割り当てられる値を変更することによって、遡及プロファイルを作成する必要があります。
遡及同期プロファイルを作成するには、次のようにします。
Oracle Directory Integration Platformを停止します。
manageSyncProfilesコマンドのdeactivate操作を使用して、Microsoft Active Directoryのインポート同期プロファイルを非アクティブ化します。
manageSyncProfiles copyコマンドを使用してインポート同期プロファイルをコピーし、遡及同期プロファイルを作成します。次に例を示します。
manageSyncProfiles copy -h myhost.mycompany.com -p 7005 -D weblogic -pf existing_import_sync_profile -newpf name_of_new_catchup_sync_profile
manageSyncProfilesコマンドのactivate操作を使用して、元のMicrosoft Active Directoryのインポート同期プロファイルをアクティブ化します。
Oracle Directory Integration Platformを起動します。
新しいドメイン・コントローラのルートDSEで、現行の最大のUSNChanged値(ルートDSEのhighestCommittedUSN属性の属性値)を検索することにより、highestCommittedUSNの現行値を取得します。
ldapsearch -h host -p port -b "" -s base -D binddn -q \ DN "objectclass=*" highestCommittedUSN
|
注意: パスワードを要求されます。 |
100を超えるエントリ(ただし200未満)を取得するまで、次のldapsearchコマンドを試行します。200を超えるエントリを取得すると、内部バッファのオーバーランを招くことがあります。
ldapsearch -v -h adhost -p adport -D administrator@domain -q \ -b cn=users,dc=acme,dc=com -s sub \ "(&(objectclass=*)(usnChanged>=delta)(&(usnChanged<=highestCommittedUSN)))" dn
|
注意: パスワードを要求されます。 |
たとえば、次のコマンドにより、デフォルトの検索デルタ・サイズ500を使用して検索を実行します。
ldapsearch -v -h adhost -p adport -D administrator@domain -q \ -b cn=users,dc=acme,dc=com -s sub \ "(&(objectclass=*)(usnChanged>=55010)(&(usnChanged<=55510)))" dn
|
注意: パスワードを要求されます。 |
次の内容を指定したprofile_config.txtというテキスト・ファイルを作成します。
[INTERFACEDETAILS] Package: gsi Reader: ActiveChgReader SkipErrorToSyncNextChange: true SearchDeltaSize: 100000
|
注意: また、同期中に変更を処理するときにOracle Directory Integration Platformでエラーを処理する方法を決定するために、SkipErrorToSyncNextChangeパラメータを設定することもできます。同期プロファイルのSkipErrorToSyncNextChangeパラメータの詳細は、「拡張」の項を参照してください。 |
manageSyncProfilesコマンドのupdate操作を使用して、profile_config.txtファイルを遡及同期プロファイルにロードします。
manageSyncProfilesコマンドのactivate操作を使用して、遡及同期プロファイルをアクティブ化します。
|
注意: 元のMicrosoft Active Directoryのインポート同期プロファイルが遡及同期プロファイルとともに実行され続けていることを確認してください。 |
遡及同期プロファイルを12時間以上実行します。バックログされた変更がすべて同期化された後、manageSyncProfilesコマンドのdeactivate操作を使用して遡及同期プロファイルを非アクティブ化します。
My Oracle Support(旧MetaLink(http://metalink.oracle.com))には、その他の解決策も記載されています。そこでも問題の解決策が見つからない場合は、サービス・リクエストを登録してください。
|
関連項目: Oracle Application Serverのリリース・ノート: Oracle Technology Network(http://www.oracle.com/technology/documentation/index.html)で入手可能です。 |
