| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリリース・ノート 11g リリース1 (11.1.1.7.0) B72435-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリリース・ノート 11g リリース1 (11.1.1.7.0) B72435-01 |
|
前 |
次 |
この章では、Directory Server 11g リリース1 (11.1.1.7.0)のリリース時点で使用可能な製品固有の重要な情報を示します。
この章は次の項で構成されています:
|
注意: バグ情報はデータベース間で移行されています。バグ番号が8桁の場合は、詳細なバグ情報がOracleのバグ・データベースBugDBに格納されています。バグ番号が7桁の場合、詳細なバグ情報はSunの従来のバグ・データベースBugsterに格納されています。このリリース・ノートでは、バグ番号はBugDB#/Bugster#の形式でリストされています。 |
次の表に、Directory Server Enterprise Edition 11g R1 (11.1.1.7.0)に含まれるすべてのバグ修正を示します。
表4-1 このリリースでのDirectory Serverのバグ修正
| バグID | 説明 |
|---|---|
|
14393413 |
重複する属性値を追加すると、メモリー・リークが発生します。 |
|
14377168 |
レプリケーションでは、RUVにURLの不整合が検出されます。 |
|
14369830 |
サブタイプがある場合とない場合の両方で属性に対して検索を同時に実行すると、サブタイプがある値が2回戻されます。 |
|
14347268 |
DSCCを使用してCoSテンプレートを変更すると、例外がスローされます。 |
|
14227880 |
マスターと別のマスター・サーバー間のレプリケーションが停止します。 |
|
14198000 |
|
|
14147844 |
LDIFインポート時に |
|
14090933 |
スマートヒープおよび複数プールでパフォーマンスの問題が発生します。 |
|
14074152 |
Directory ServerをWindows Serviceとして構成した後は、Directory Serverインスタンスを停止したり、Windows Serviceを削除することはできません。 |
|
14056973 |
形式が間違っているRDNを変更すると、ダブル・フリー・エラーが発生します。 |
|
14052999 |
Directory Serverの共有コンポーネントを更新します。 |
|
13973308 |
「構文のチェック」ボタンを使用すると、予期しないエラーが発生します。 |
|
13918298 |
DSCCの使用中に表示される「アカウントのロックアウト」のエラー・メッセージ「失敗回数リセット」は間違っています。 |
|
13833118 |
DNを変更する場合、移動したエントリのエントリIDが新しい優先エントリより小さいと、メモリー・リークが発生する可能性があります。 |
|
13824107 |
バックアップ/リストア・タスクでは、わずかなメモリー・リークが発生します。 |
|
13795374 |
64-bit Windows ServerでOracle Directory Server Enterprise Editionバージョン7.0または11.1.1.3を使用して |
|
13599534 |
オンライン・リライト・タスク作成時にエラーが発生しても、内部的にはタスクは破棄されません。サーバーは、タスクの終了を待機しており、停止時にハングします。 |
|
13591464 |
Directory Serverでレプリケーションが構成されていない場合、コマンド |
|
13585561 |
時間に基づくログ・ローテーションが期待どおりに動作しません。 |
|
13536842 |
再索引付けのときにいずれかの属性が暗号化されていると、エラー4804、エラー4806およびエラー21256が発生します。 |
|
13499849 |
|
|
13447459 |
Directory Server 11.1.1.3.0の使用時、失敗したmodrdn操作の後、パフォーマンスが著しく低下します。 |
|
13413986 |
Directory Serverは、再索引付けのときにリフェラルを戻します。 |
|
13390361 |
索引付けられた検索のログが |
|
13242112 |
OCTETSTRING型のデータはDSCCによって破損しています。 |
|
13078242 |
|
|
13064841 |
「構文から新規ACI」ボタンを使用してACIを追加しようとすると、「OK」または「構文のチェック」をクリックしたときに、ログイン・ページにリダイレクトされます。 |
|
13044577 |
dpadmコマンドまたはSMFサービスを使用してDirectory Proxy Serverインスタンスを停止すると、DSCCがDPSのステータスを「機能低下」として表示します。 |
|
12972095 |
|
|
12904374 |
大/小文字が混在した特定のホスト-FQDN構成では、Identity Synchronization for Windowsのオンデマンド同期化が失敗します。 |
|
12859825 |
バックアップを実行しようとすると、Directory Serverがクラッシュします。サーバーがクラッシュした後、サーバーを再起動することはできません。 |
|
12839666 |
接続が強制終了されると、破損したIPアドレスが記録されます。 |
|
12830963 |
SUSE Linux- 10 (X86_64)の場合、Directory Server 11.1.1.3.0は読取り専用モードでは起動しません。 |
|
12824002 |
dsmig configを使用してDirectory Server Enterprise Edition 5.2から移行すると、索引構成は正常に移行されません。 |
|
12751400 |
パスワードを変更する必要のあるユーザーでエントリを変更することが可能です。 |
|
12708119 |
無効な |
|
12654448 |
SASLバインドGSSAPIの使用時、 |
|
12647512 |
Directory Serverでは、形式が間違っている |
|
12603625 |
|
|
12589178 |
エラー20765の後、Directory Serverがハングします。 |
|
12567769 |
プラグイン初期化検索のメンバーによって、サーバーが停止時にハングする可能性があります。 |
|
12534890 |
接尾辞をオフラインでリライトすると、オプションのパラメータが使用されません。 |
|
12417570 |
レプリケーション・スタックの問題で、Directory Serverがクラッシュします。 |
|
12376213 |
|
|
12352171 |
HP 585 G5およびHP 580 G7 NUMAベースのハードウェアで実行中のDirectory Serverでパフォーマンスの問題が発生します。 |
|
12336193 |
|
|
12310114 |
新しい属性を受け入れるために、本番デプロイメントでの再索引付けを改善してください。 |
|
12309638 |
CoSで操作識別子が正しく使用できないため、操作属性が戻されます。 |
|
12307634 |
Windowsの停止時、サービスとして登録されたDirectory Serverインスタンスが正しく停止しません。 |
|
12305811/7008961 |
dsccmonコマンドライン出力に、重要な情報を読みにくくする不要なINFOメッセージが多数含まれます。 |
|
12302779/6993689 |
下位接尾辞にパスワード・ポリシーを追加する場合、接尾辞定義とDNで使用する大/小文字が異なると、パスワード・ポリシーが2回表示されます。 |
|
12287748/6924135 |
DSCCで間違った情報「操作のステータス: 索引が変更されました - 初期化または再生成が必要です」が表示されます。 |
|
12284721/6908622 |
insyncコマンドの使用時、オプション |
|
12258927/6791392 |
デフォルトのセキュリティ証明書の編集時、ツールチップに無効な文字列が表示されます。 |
|
12199602/6550038 |
既存の接尾辞からレプリケーション承諾をコピーしてレプリケーション接尾辞を作成すると失敗します。 |
|
12170721/6445363 |
サポートされている制御属性で、パスワード・ポリシー・コントロールOIDが2回表示されます。 |
|
11886697 |
データベースに暗号化された属性が含まれ、かつデータベースがバージョン6.xまたはバージョン5.xから移行されている場合、dsdconf reindexコマンドを実行すると、 |
この項では、Directory Serverのリリース時点での既知の問題および制限事項を示します。
この制限事項の修正は、Solaris 10 Update 11に含まれています。(15699438/7022701)
SolarisのODSEEで使用するファイルシステム・タイプとして推奨されているのは、UFSおよびZFSです。SolarisのODSEEでは、LOFSファイルシステムもサポートされています。ただし、LOFSファイルシステムを使用すると、パフォーマンスの問題が発生します。NFSおよびCIFSは、OSにかかわらず、ODSEEでの使用がサポートされていないファイルシステムです。(14605778)
WindowsでSASL認証を使用する場合、starttlsを有効にして接続の問題を回避します。(14556992)
Directory Service Control Center (DSCC)によって、Directory ServerおよびDirectory Proxy Serverインスタンスの集中管理が可能になります。現行バージョンのDSCCでは、42のサーバー・インスタンスのある環境でテストに成功しており、最も一般的な構成をサポートしています。
インストールしたDirectory Server Enterprise Edition製品ファイルのファイル権限を変更すると、ソフトウェアが正しく動作しなくなる場合があります。ファイル権限の変更は、製品ドキュメントの指示またはOracle Supportの指示に従って行ってください。
この制限事項を回避するには、適切なユーザー権限およびグループ権限を持つユーザーとして、製品をインストールし、サーバー・インスタンスを作成します。
cn=changelog接尾辞は複製しないでください。cn=changelog接尾辞のレプリケーションを設定できなくなることはありませんが、それを行うと、レプリケーションが中断される可能性があります。cn=changelog接尾辞は複製しないでください。レトロ変更ロク・プラグインによって、cn=changelog接尾辞が作成されます。
LD_LIBRARY_PATHに/usr/libが含まれていると、間違ったSASLライブラリがロードされます。LD_LIBRARY_PATHに/usr/libが含まれていると、間違ったSASLライブラリが使用され、インストール後にdsadmコマンドが失敗します。
cn=config属性を変更します。cn=configに対するLDAP変更操作では、置換下位操作のみ使用できます。属性を追加または削除しようとすると、エラー53: ディレクトリ・サービス・エージェントが実行不可の状態です。で拒否されます。Directory Server 5は属性または属性値の追加または削除を受け入れましたが、更新は値の検証なしでdse.ldifファイルに適用され、DSA内部状態はDSAが停止され起動されるまで更新されませんでした。
|
注意:
|
この制限事項を回避するために、LDAP変更の置換下位操作を、追加または削除下位操作に置き換えることができます。機能が失われることはありません。さらに、DSA構成の状態は、変更を追跡していて予測しやすくなっています。
この問題が影響するのは、Windowsシステムのサーバー・インスタンスのみです。この問題は、Start TLS使用時のWindowsシステムのパフォーマンスが原因で発生します。
この問題を回避するには、dsconfコマンドに-Pオプションを使用してSSLポートに直接接続することを検討します。または、ネットワーク接続がすでに保護されている場合は、dsconfコマンドに-eオプションを使用することを検討します。このオプションによって、セキュア接続を要求しなくても、標準のポートに接続できます。
レプリケートされたDirectory Serverインスタンスをレプリケーション・トポロジから削除した後も、レプリケーション更新ベクトルはインスタンスへの参照を継続できます。その結果、存在しなくなったインスタンスへのリフェラルが発生する可能性があります。
max-thread-per-connection-countは有効ではありません。Directory Server構成プロパティmax-thread-per-connection-countおよびds-polling-thread-countは、Windowsシステムには適用されません。
属性の索引構成を変更する場合、その属性をフィルタとして含むすべての検索が索引として処理されるとはかぎりません。その属性を含む検索が正しく処理されるようにするには、dsadm reindexまたはdsconf reindexコマンドを使用して、属性用に索引構成を変更するたびに既存の索引を再生成します。詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』の第12章「ODSEEの索引作成」を参照してください。
この項では、Directory Server 11g リリース1 (11.1.1.7.0)のリリース時点での既知の問題を示します。
以前は記述がなかったMODRDN時のACI評価に関する制限事項によって、ACIで拒否ルールを指定すると操作が拒否されます。詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』を参照してください。
WebLogic 10.3.6の使用時、DSCCでサーバーをダブルクリックして選択すると、突然コンソールからログアウトされます。
Windows 2008では、SASL/DIGEST-MD5バインドがASN.1エラーで失敗する場合があり、その後、接続がクローズされていないように見えます。
Solaris 11 SPARCまたはX64では、Javaベースのクライアント・アプリケーションdsconfとDirectory Server間で接続が確立できない場合があります。
これは、ODSEEに付属のJDK7と一部のSolaris 11オペレーティング・システム・ライブラリ間の不要な相互作用が原因です。これを回避するには、システムのライブラリを使用しないでください。
対処として、次のいずれかを実行します。
$INSTALL_DIR/dsee7/jre/lib/security/java.securityファイルで、sunpkcs11関連エントリをすべて削除します。
$INSTALL_DIR/dsee7/jre/lib/security/java.securityを、次のODSEEに付属しているバージョンが変更されたファイルに置き換えます。
$INSTALL_DIR/dsee7/resources/install/java.security.nosunpkcs11
DSCCレジストリが削除されても、レジストリ情報が適切に更新されず、レジストリ情報がエージェント自体に格納され続けます。
Apache Tomcat 6.0.14使用時にDSCC WARファイルをデプロイしようとすると、Java例外が発生します。
Solaris 10 Update 10およびSolaris 11 11.11では、Directory ServerインスタンスがSMFサービスとして登録されると、サーバー・インスタンスを起動できません。
Directory Server 6.xマスターとDirectory Server 5.xコンシューマまたはマスター間でレプリケーションが正しく動作している場合に、DSCCで「宛先サフィックスは初期化されていません」という間違った操作のステータスが表示されます。宛先サフィックスは実際には初期化されているため、繰り返し発生するこのステータスは無視してかまいません。
部分レプリケーションではreplcheckコマンドは動作しません。
日本語版のDSCCでは、「バージョン」ボタンをクリックしても、「バージョン」ページが表示さません。「ヘルプ」ボタンをクリックしても、「ヘルプ」ページが表示されません。どちらの場合も、タイトル・バーには正しいページ・タイトルではなく疑問符(?)が表示されます。
DSCCを使用して、接尾辞の索引属性の1つ以上のプロパティを変更すると、実際にはデータはバックエンドで更新されますが、接尾辞の「索引」ページのステータスは更新されません。接尾辞の「索引」ページで「リフレッシュ」ボタンをクリックしても、更新されたステータスは戻りません。
この問題を回避するには、DSCCから接続を切断してから、再度接続します。接尾辞の「索引」ページに移動すると、ステータスが正しく更新されているはずです。
DSCCでレプリケーション・トポロジ・ページを表示しようとすると、DSCCはエラーをスローし、ページがロードできないことを示します。
この問題を回避するには、DSCCが表示されるアプリケーション・サーバーのJVMオプションに次を適用します。
-Djava.awt.headless=true
dsconf help-propertiesコマンドが部分レプリケーション・プロパティの説明の順を逆に表示します。出力は次のようになります。
repl-fractional-exclude-attr ... Replicate only the specified set of attributes repl-fractional-include-attr ... Do not replicate the specified set of attributes
正しくは、次のとおりです。
repl-fractional-exclude-attr ... Do not replicate the specified set of attributes repl-fractional-include-attr ... Replicate only the specified set of attributes
レプリケートされた操作に競合状態が発生すると、retro-changlogで正しい順番で変更が反映されない場合があります。現在のところ、回避方法はありません。
オンラインのリストアが開始されている状態でchangelog切捨ての実行中、サーバーがハングする可能性があります。
SSLポートを使用する場合、dsconfコマンドはまずanonymousとしてバインドされます。これによって、匿名バインドがサーバーによって拒否されるデプロイメントでは、dsconfが動作しなくなる可能性があります。
アイドル・タイムアウトを非常に小さい値(たとえば、サーバー・インスタンスに2s)に設定すると、DSCCに接続エラーが表示され、完了までに長時間かかるいくつかの操作(ログのローテーションなど)が実行できなくなります。アイドル・タイムアウトは、少なくとも10sや20sに設定し、ネットワーク待機時間に応じて調整してください。
uidObjectオブジェクト・クラスがスキーマにありません。
この問題を回避するには、次のオブジェクト・クラスを00core.ldifファイルに追加します。
objectClasses: ( 1.3.6.1.1.3.1 NAME 'uidObject' SUP top AUXILIARY MUST uid X-ORIGIN 'RFC 4519')
廃止された定義が28pilot.ldifファイルに残っています。
この問題を回避するには、次の別名指定を28pilot.ldifファイルに追加します。
objectClasses: ( 0.9.2342.19200300.100.4.4 NAME ('newPilotPerson' 'pilotPerson') DESC <...>)
DSCCはホスト名シノニムをサポートしていません。DSCC接尾辞をレプリケートしているとき、レプリケーション承諾のホスト名がDSCCレジストリのホスト名と一致する必要があります。
WindowsのKoreanロケールでは、ns-slapdが起動できない場合、dsadm startコマンドでnsslapdエラー・ログが表示されません。
WARファイルをデプロイした後、「トポロジの表示」ボタンが動作しなくなります。ときどきJava例外が発生しますが、これはorg.apache.jsp.jsp.ReplicationTopology_jsp._jspServiceに基づくものです。
ログのいくつかの行に1024文字より多くの文字が含まれている場合、dsadm show-*-logコマンドは正しい出力を表示しません。
dsadm show-*-log lコマンドの出力に正しい行が含まれません。以前にローテーションされたログの最後の行が含まれる可能性があります。
Directory Service Control Centerおよびバージョン6.1以上のdsadmコマンドでは、バージョン6.0のdsadmコマンドで作成されたDirectory Serverインスタンスの組込みCA証明書が表示されません。
この問題を回避するには、次の手順を実行します。
64-bitバージョンのmodutilに64-bitモジュールを追加します。
$ /usr/sfw/bin/64/modutil -add "Root Certs 64bit" \ -libfile /usr/lib/mps/64/libnssckbi.so -nocertdb \ -dbdir /instance-path/alias -dbprefix slapd- -secmod secmod.db
DSCCに登録されたサーバーの場合、すべてのインタフェース(0.0.0.0)をリスニングしているときにdsconfを使用してサーバーのリスニング・アドレスを変更しようとすると、DSCCエラーが発生します。
Directory Server Enterprise EditionにSSLポートのみとsecure-listen-addressを設定するには、次の手順を実行します。
DSCCからの登録解除します。
dsccreg remove-server /local/myserver
LDAPポートを無効にします。
dsconf set-server-prop ldap-port:disabled
secure-listen-addressを設定します。
$ dsconf set-server-prop secure-listen-address:IPaddress $ dsadm restart /local/myserver
DSCCを使用してサーバーを登録します。サーバーの登録ウィザードで、サーバーのIPアドレスを指定します。この操作は元に戻すことができません。
Solaris 10でService Management Facility (SMF)を使用してサーバー・インスタンスを有効にすると、システムを再起動してもインスタンスが起動せず、次のエラーが戻されます。
svcadm: Instance "svc:/instance_path" is in maintenance state.
この問題を回避するには、ローカル・ユーザーを使用してDirectory ServerおよびDirectory Proxy Serverサーバーを作成します(つまり、NISユーザーではなく、マシンでローカルに定義されたユーザーです)。
Directory Service Control Centerを使用してパスワード・ポリシーを変更する場合、変更されていない属性が知らないうちにリセットされる場合があります。
Directory Service Control Centerを使用したデフォルトのパスワード・ポリシーの管理ではエラーは発生しません。ただし、Directory Service Control Centerを使用て特殊なパスワード・ポリシーを管理すると、変更されていない属性がリセットされる可能性があります。
Windowsシステムでは、インスタンスの基本名がdsの場合に起動に失敗します。
Internet Explorer 6からDirectory Service Control Centerを使用してDirectory Serverのリフェラル・モードを有効にすると、リフェラル・モードの確認ウィンドウが切り捨てられます。
この問題を回避するには、Mozilla Webブラウザなどの別のブラウザを使用します。
HP-UXプラットフォームでは、Directory Server Enterprise EditionのManページの次のセクションに、コマンドラインからアクセスすることができません。
man5dpconf
man5dsat
man5dsconf
man5dsoc
man5dssd
この問題を回避するには、『Oracle Directory Server Enterprise Edition Manページ・リファレンス』にあるManページにアクセスしてください。その場所から、Directory Server Enterprise EditionのすべてのManページのPDFをダウンロードできます。
Windowsシステムへのインストール中、ODSEEではファイルを保護するためにWindowsの権限設定を使用します。権限が正しく設定されていることを確認します。
この問題を回避するには、インストールおよびサーバー・インスタンス・フォルダに対する権限を変更します。
Directory Service Control Centerでは、別の接尾辞にリフェラルを戻すように構成された接尾辞を参照することはできません。
Directory Service Control Centerでもdsconfコマンドでも、Directory Serverがどのように無効なプラグイン署名を処理するかを構成することはできません。デフォルトでは、プラグイン署名を検証しますが、それらが有効である必要はありません。Directory Serverは、無効な署名に関する警告を記録します。
サーバーの動作を変更するには、cn=configでds-require-valid-plugin-signatureおよびds-verify-valid-plugin-signature属性を調整します。両方の属性がとる値は、onまたはoffのいずれかです。
Windowsシステムでは、dsconfコマンドで、LDIFファイル名にダブルバイト文字を含むLDIFをインポートできません。
この問題を回避するには、ダブルバイト文字が含まれないようにLDIFファイル名を変更します。
Windowsでは、SASL暗号化が使用されているため、SASL認証に失敗します。
SASL暗号化によって発生するこの問題を回避するには、サーバーを停止し、dse.ldifを編集して、SASLを次のようにリセットします。
dn: cn=SASL, cn=security, cn=config dssaslminssf: 0 dssaslmaxssf: 0
Directory Serverでは、エスケープされた引用符またはエスケープされた単一のカンマを含むACIターゲットDNを正しく解析できません。次のように変更すると、構文エラーが発生します。
dn:o=mary\"red\"doe,o=example.com changetype:modify add:aci aci:(target="ldap:///o=mary\"red\"doe,o=example.com") (targetattr="*")(version 3.0; acl "testQuotes"; allow (all) userdn ="ldap:///self";) dn:o=Example Company\, Inc.,dc=example,dc=com changetype:modify add:aci aci:(target="ldap:///o=Example Company\, Inc.,dc=example,dc=com") (targetattr="*")(version 3.0; acl "testComma"; allow (all) userdn ="ldap:///self";)
ただし、エスケープされている複数のカンマが含まれる例は、正しく解析されることが確認されています。
dsconf accord-repl-agmtコマンドでは、SSLクライアント認証が宛先接尾辞で使用される場合、レプリケーション承諾の認証プロパティを調整できません。
この問題を回避するには、次の手順を実行し、コンシューマの構成にサプライヤ証明書を格納します。ここに示されているサンプル・コマンドは、同じホストに2つのインスタンスがあることを想定しています。
証明書をファイルにエクスポートします。
次の例は、/local/supplierおよび/local/consumerのサーバーへのエクスポートの実行方法を示しています。
$ dsadm show-cert -F der -o /tmp/supplier-cert.txt \ /local/supplier defaultCert $ dsadm show-cert -F der -o /tmp/consumer-cert.txt \ /local/consumer defaultCert
クライアント証明書とサプライヤ証明書を交換します。
次の例は、/local/supplierおよび/local/consumerのサーバーへの交換の実行方法を示しています。
$ dsadm add-cert --ca /local/consumer supplierCert \ /tmp/supplier-cert.txt $ dsadm add-cert --ca /local/supplier consumerCert \ /tmp/consumer-cert.txt
コンシューマにSSLクライアント・エントリを追加します(usercertificate;binary属性にsupplierCert証明書が含まれ、正しいsubjectDNが設定されています)。
コンシューマにレプリケーション・マネージャDNを追加します。
$ dsconf set-suffix-prop suffix-dn repl-manager-bind-dn:entryDN
/local/consumer/alias/certmap.confのルールを更新します。
dsadm startコマンドで両方のサーバーを再起動します。
LDIFからエントリがインポートされても、Directory ServerではcreateTimeStampおよびmodifyTimeStamp属性は生成されません。
LDIFインポートは処理速度が最適化されます。インポート処理でこれらの属性が生成されることはありません。この制限事項を回避するには、エントリをインポートではなく追加します。または、インポートする前に属性を追加するようにLDIFを事前処理します。
Directory Serverの一部のエラー・メッセージでデータベース・エラー・ガイドを参照していますが、このガイドは存在しません。説明のないクリティカルなエラーの意味がわからない場合は、Oracle Supportに問い合せてください。
