Notas de la versión de Sun Java System Identity Synchronization for Windows 1 2004Q3

Sun Java™ System Identity Synchronization for Windows Notas de la versión

Versión 1 2004Q3

Número de pieza 817-7851

Estas notas de la versión contienen información importante disponible en el momento del lanzamiento de Sun Java™ System Identity Synchronization for Windows 1 2004Q3. Aquí se tratan nuevas funciones y mejoras, problemas y limitaciones conocidos, notas técnicas e información de otro tipo. Lea este documento antes de empezar a utilizar Sun Java System Identity Synchronization for Windows 1 2004Q3 (Identity Synchronization for Windows).

En estas notas de la versión se incluyen los siguientes apartados:

Se incluyen las direcciones URL de terceras partes para proporcionar información adicional relacionada.


Nota

Sun no se responsabiliza de que los sitios Web de otros fabricantes aquí mencionados estén disponibles. Así como tampoco respalda ni se hace cargo del contenido, la publicidad, los productos o cualquier otro tipo de material que esté disponible en dichos sitios o recursos o a través de ellos. Sun declina toda responsabilidad en cuanto a daños reales o alegados o pérdidas que pudieran derivarse o estar relacionadas con el uso de los contenidos, artículos y servicios que estén disponibles en dichos sitios o recursos o a través de ellos.



Historial de revisiones

Tabla 1  Historial de revisiones 

Fecha

Descripción de los cambios

30 de septiembre de 2004

Versión inicial de las notas de la versión.


Acerca de Identity Synchronization for Windows 1 2004Q3

Identity Synchronization for Windows proporciona una sincronización de contraseña bidireccional entre los siguientes directorios:

Cuando sincroniza Sun Java System Directory Server (Directory Server) y Windows 2000/2003 Active Directory, puede instalar y ejecutar todos los componentes de Identity Synchronization for Windows en los entornos con sistema operativo Solaris y Windows 2000 Server. Cuando se sincronizan Directory Server y Windows NT, debe ejecutar los componentes de Windows NT en el entorno de Windows NT.

Este apartado incluye:

Novedades de esta versión

Funciones nuevas

Las funciones nuevas de Identity Synchronization for Windows 1 2004Q3 incluyen:

Cambios de productos

Se han realizado los siguientes cambios en el producto para la versión 1 2004Q3:

Mejoras de rendimiento

El rendimiento de la sincronización se ha mejorado significativamente.

Cambios en la documentación

Cambio de marca de producto y documentación: Se ha cambiado la marca de la documentación y del producto Sun Java System Identity Synchronization for Windows de Sun ONE Identity Synchronization for Windows a Sun Java System Identity Synchronization for Windows.

Requisitos de hardware y software

Requisitos de sistema operativo

Las siguientes tablas describen los requisitos de sistema operativo para esta versión de Identity Synchronization for Windows:

Tabla 2  Requisitos para Solaris  

Componente

Requisitos de Solaris

Núcleos

Solaris 8 para UltraSPARC® (32 y 64 bits)
Solaris 9 SPARC® Platform Edition (32 y 64 bits)Sistema operativo
Solaris 9 (x86 Platform Edition para Pentium II o superior) IA-32

Conectores para Sun Java System Directory Server y para Windows Active Directory

Solaris 8 para UltraSPARC (32 y 64 bits)
Solaris 9 para plataformas SPARC (32 y 64 bits)Sistema operativo
Solaris 9 (x86 Platform Edition para Pentium II o superior) IA-32

Complemento para Sun Java System Directory Server

Solaris 8 para UltraSPARC (32 y 64 bits)
Solaris 9 para plataformas SPARC (32 y 64 bits)Sistema operativo
Solaris 9 (x86 Platform Edition para Pentium II o superior) IA-32

Tabla 3  Requisitos para Windows  

Componente

Requisitos para Windows

Núcleo

Windows 2000 Server, SP4
Windows 2000 Advanced Server SP4
Windows Server 2003 Standard o Enterprise Edition

Conectores para Sun Java System Directory Server y para Windows Active Directory

Windows 2000 Server, SP4
Windows 2000 Advanced Server SP4
Windows Server 2003 Standard o Enterprise Edition

Complemento para Sun Java System Directory Server

Windows 2000 Server, SP4
Windows 2000 Advanced Server SP4
Windows Server 2003 Standard o Enterprise Edition

Conectores y complementos para NT (componentes secundarios)

Windows Primary Domain Controller NT 4.0 Server SP 6A
(sólo para x86)

Para sincronizar con Active Directory en Windows 2003 Standard y Enterprise Server

Windows Server 2003 Standard Edition (con las últimas actualizaciones de seguridad)
Windows Server 2003 Enterprise Edition (con las últimas actualizaciones de seguridad)

Requisitos de hardware

El hardware (todas las plataformas) debe cumplir los siguientes requisitos mínimos para ejecutar Identity Synchronization for Windows:

Sun Java System Requisitos de software

Para ejecutar Identity Synchronization for Windows, debe instalar los siguientes componentes de software de Sun Java System:


Errores solucionados en esta versión

La tabla que figura a continuación describe los errores solucionados en Identity Synchronization for Windows 1 2004Q3:

Tabla 4  Errores solucionados en Identity Synchronization for Windows 1 2004Q3 

Número de error

Descripción

Instalación y desinstalación

4881466

Se ha producido un error en la instalación de los núcleos con una instancia de Message Queue existente en un puerto distinto del 7676.

4829497

El programa de desinstalación no ha eliminado todos los archivos y carpetas.

4820869

En Windows, el sistema se tiene que reiniciar antes de volver a instalar los núcleos.

4916789

Se han generado ID de complementos duplicados de Directory Server para las réplicas instaladas en la misma Raíz_Servidor.

5035406

Se ha producido un error en la instalación del núcleo en equipos basados en Solaris cuando se utiliza JRE en vez de JDK.

4880807

runInstaller.sh y runUninstaller.sh no admitían una opción “-nodisplay”.

5030928

El programa de instalación no era compatible con credenciales distintas para los host principales y migrados tras fallo.

5037157

No había una secuencia de comandos de desinstalación tras una instalación de “sólo complemento DS”.

5050554

El inicio del programa de instalación en el modo ‘-nodisplay’ requiere una PANTALLA viable.

4915192

No ha sido posible realizar la instalación del conector de Directory Server sólo para SSL.

5052509

La secuencia de comandos de desinstalación basada en texto no eliminó todos los paquetes relacionados con Identity Synchronization.

4937341

La desinstalación de Identity Synchronization for Windows mediante la opción Agregar/Quitar en sistemas basados en Windows no funcionó.

5056685

El programa de desinstalación del complemento NT no eliminó la DLL del filtro de contraseña (operación necesaria para que Windows no cargue la DLL al iniciarse, lo que garantiza la eliminación de la DLL). Esto ha provocado problemas durante la reinstalación del componente.

4988901

Algunos de los paneles del programa de instalación no han mostrado el panel correcto cuando se hizo clic en el botón “Back”.

5030567

Durante la instalación de NT Connector, el programa de instalación no mostró correctamente un texto informativo advirtiendo que todos los subcomponentes de NT Connector ya estaban instalados.

5036330

Durante la instalación, cuando se modificó el valor predeterminado para el texto descriptivo en el campo “Enter some descriptive, unique name for the administration domain...”, la instalación falló.

5041518

El panel del puerto del conector mostró errores cuando se hizo clic en el botón Back durante la instalación de los subcomponentes.

5048953/
5049733

Cuando el valor JAVA_HOME contenía comillas, la desinstalación falló.

5050691

Durante la instalación del Núcleo, la ventana de configuración MQ mostró un mensaje incorrecto relacionado con la versión MQ instalada en el sistema. Mostró “null”.

5057716

Ni el paquete de complementos de Directory Server ni sus entradas en el registro se eliminaron del sistema, aunque el complemento se desinstaló correctamente.

5071574

No se aceptó un número de puerto válido (65535) para el conector del Directory Server.

5079602

El nt_dll_registrar no forzó “Notification Packages” a REG_MULTI_SZ.

Sincronización de contraseña

4845844

El comando Idsync resync no crea usuarios a partir de Directory Server en NT durante la sincronización.

4937502

Los conectores pueden detener la sincronización tras la pérdida frecuente de conexión a la red.

4939825

El conector de Directory Server no ha eliminado el atributo de detección de bucle para las entradas modificadas.

4906752

La creación de usuarios seguida rápidamente de una operación modrdn en Sun Directory Server no se ha sincronizado.

4933861

NT Connector muestra un exceso de actividad cuando la sincronización se inicia tras “idsync resync -c -o Sun” si se han utilizado atributos sintéticos.

4941200

Las entradas de usuario a las que se cambió el nombre no se sincronizaron cuando sólo se cambió las mayúsculas y minúsculas.

4893525

Las modificaciones de los atributos se perdieron cuando se terminó la conexión de red al servidor de Active Directory.

5019327

El conector de Directory Server sincroniza los usuarios con un conjunto de clase de objetos a la subclase del tipo de clase de objeto sincronizado.

4995351

Identity Synchronization for Windows asignó un atributo incorrecto.

5036025

Al modificar SUL y a continuación sincronizar usuarios se produce un error NullPointerException (notificado en los archivos de registro) y el conector deja de responder.

5054654

Los cambios realizados en la contraseña NT se pierden cuando el conector se restablece o apaga bruscamente.

Sun Java System Message Queue

4881240

En Solaris, no se ha podido utilizar Message Queue existente cuando se instaló en un directorio de usuarios.

General

4943564 /
4939730

Userpassword no era un atributo opcional.

4994145

El complemento de Directory Server probaba la conexión con hosts no disponibles con demasiada frecuencia.

5041435

La actualización de la contraseña solicitada impedía que Directory Server respondiese si la opción “Password History” estaba activada.

4939859

Idsync linkusers/resync pasaba por alto la opción de filtro LDAP si el conector de origen era Windows NT.

4987742

resync no ha procesado todas las entradas debido a una “condición de competencia”.

5048362

Los caracteres en línea nueva procedentes de mensajes de registro no se han eliminado automáticamente.

4925575

El programa de instalación del conector de Active Directory no ha comprobado que el dominio coincidía con el dominio certificado.

4901486

Bosques Multiple Active Directory no era compatible anteriormente con Identity Synchronization for Windows 1 2004Q3.

Consola general

5040094

“objectclass=<some oc>” ha notificado un error de filtro no válido.

5030704

El intervalo de resync para el origen de Active Directory desde la consola no se ha podido modificar.

5026929

El valor predeterminado para los atributos de creación obligatorios no se ha podido especificar.

4941238

El visualizador de registros analizó de forma incorrecta el registro de errores.

5008697

Se agregó otro elemento a la lista cuando se editó la asignación en vez de actualizar el elemento existente.

50134407

Pudo crearse un origen de directorio con el mismo nombre que un origen de directorio existente. No se mostró ningún mensaje de error ni se pudo eliminar el origen de directorio.

5026198

Los errores tipográficos que existían en la ventana Log para la consola se han corregido.

5044529

Console prepds no funcionó para Directory Server sólo para SSL.

5045350

Cuando se modificó un atributo de creación existente, el valor no pudo establecerse en <ninguno>.

4921889

Cuando se seleccionó de nuevo la opción View Tree, la consola no volvió a la vista normal de árbol.

Conector

4988028

Excepción de tiempo de ejecución de Java (RTE) en atributo usnchanged ausente.

Utilidades de línea de comandos

5015766

El envío de una contraseña vacía a idsync changepw provoca que el acceso al registro de configuración sea imposible.

4986303

La interfaz de línea de comandos no proporcionaba los valores predeterminados para las opciones -h, -p, -D y -s.

5038195

resetconn no ha proporcionado un mensaje de error adecuado si el sufijo de configuración no era válido.

5019543

prinstat no ha proporcionado un mensaje de error adecuado si el sufijo de configuración no era válido.

5024148

resetconn no ha borrado las credenciales de Message Queue del conector.

4941125

resync ha actualizado a los usuarios en sincronía si el origen es Sun y los atributos sintéticos se habían sincronizado.

4939484

Puede que el comando linkusers no salga nunca.

5015575

La operación CLI no se detuvo cuando el comando “c” se ejecutó en el indicador de línea de comandos.

5062028

El indicador de línea de comandos dejó de responder cuando el Núcleo se instaló con SSL. (El valor predeterminado para el puerto en CLI era el puerto SSL.)


Información importante

Este apartado contiene la última información que no se incluye en la documentación del producto. En este apartado, se describen los siguientes temas:

Notas de la instalación

Antes de instalar Identity Synchronization for Windows 1 2004Q3, asegúrese de leer el capítulo “Preparing for Installation” que aparece en Sun Java™ System Identity Synchronization for Windows 1 2004Q3 Installation and Configuration Guide.

Con Windows 2003 Server

Problemas con Windows 2003 Server

El comportamiento de Windows 2003 Server de “el usuario debe cambiar la contraseña en el próximo inicio de sesión” es distinto con respecto a Windows 2000. (4997513)

En Windows 2003, el indicador el usuario debe cambiar la contraseña en el próximo inicio de sesión está definido de forma predeterminada, lo que no ocurre en Windows 2000.

Cuando crea usuarios en Windows 2000/2003 con el indicador “el usuario debe cambiar la contraseña en el próximo inicio de sesión” definido, se crearán los usuarios en Directory Server sin contraseña. La siguiente vez que los usuarios inician sesión en Active Directory, deberán cambiar su contraseña, que invalidará las contraseñas anteriores en Directory Server y forzará la sincronización a petición la próxima vez que estos usuarios se identifiquen en Directory Server.

Los usuarios no podrán autenticarse en Directory Server hasta que cambien su contraseña en Active Directory.

Problemas de compatibilidad

Problemas de compatibilidad al utilizar ciertos productos de Remote Console para acceder a la consola de Identity Synchronization for Windows. (5077227)

Han podido surgir problemas al intentar ver la consola de Identity Synchronization for Windows utilizando PCAnywhere 10.x o Remote Administration 2.1. (No obstante, PCAnywhere versión 9.2 puede no provocar errores.) Si los problemas continúan, quite el software de administración remoto. Como alternativa, podría utilizarse VNC; no se conoce que provoque ningún problema al mostrar la consola de Identity Synchronization for Windows.

Recuperación de datos cuando el sistema o la aplicación fallan

En caso de fallo de hardware o de la aplicación podrá ser necesario restablecer los datos a partir de una copia de seguridad en alguno de los orígenes de directorio sincronizados.

No obstante, tras completar la recuperación de datos, es necesario llevar a cabo un procedimiento adicional para garantizar que la sincronización puede realizarse correctamente.

En general, los conectores mantienen información sobre el último cambio propagado a la cola de mensajes.

Estos datos, definidos como estado del conector, se emplean para determinar el cambio posterior que debe leer el conector desde su origen de directorio. Si la base de datos de un origen de directorio sincronizado se restablece a partir de una copia de seguridad, el estado del conector puede dejar de ser válido.

Los conectores basados en Windows (Active Directory o Windows NT) también mantienen una base de datos interna. Esta base de datos es una copia del origen de datos sincronizado y se utiliza para determinar qué ha cambiado en el origen de datos conectado. Es fácil observar que la base de datos interna dejará de ser válida una vez que el origen de Active Directory o el sistema Windows NT se restablezca a partir de una copia de seguridad.

En general, el comando idsync resync puede utilizarse para restablecer el origen de datos recuperado.


Nota

La resincronización no puede emplearse para sincronizar contraseñas con una excepción. La opción -i ALL_USERS puede utilizarse para invalidar contraseñas en sistemas Sun Java(TM) System Directory Server si el origen de datos de resincronización es Windows (y la lista SUL sólo incluye sistemas Active Directory).


No obstante, la utilización de idsync resync puede que no sea una opción aceptable en todas las situaciones.


Precaución

Antes de ejecutar cualquiera de los pasos que se detallan a continuación, asegúrese de detener la sincronización.


Sincronización bidireccional

El procedimiento recomendado es utilizar el comando idsync resync con la configuración de modificador apropiada (de acuerdo con la configuración de sincronización). El objetivo de la operación resync debería ser el origen del directorio recuperado.

Sincronización unidireccional

Si el origen de datos recuperado es un destino de sincronización, puede seguirse el mismo procedimiento que con la sincronización bidireccional.

Si el origen de datos recuperados es un origen de sincronización, idsync resync puede usarse todavía para restablecer el origen de directorio recuperado. No hay necesidad de cambiar la combinación de flujo de sincronización en Identity Synchronization for Windows, idsync resync permite configurar el flujo de sincronización independientemente de los flujos configurados mediante la opción -o <Windows|Sun>.

Tenga en cuenta el siguiente escenario como ejemplo:

Se establece una sincronización bidireccional entre Sun Java(TM) System Directory Server y Active Directory.

Procedimientos de recuperación específicos de origen de directorio

Microsoft Active Directory

Si Active Directory puede restablecerse a partir de una copia de seguridad, siga los procedimientos descritos en las secciones de sincronización bidireccional o unidireccional.

No obstante, puede que sea necesario utilizar un controlador de dominio diferente después de un fallo crítico. En este caso, siga estos pasos para actualizar la configuración del conector de Active Directory Connector:

  1. Inicie la consola de gestión de Identity Synchronization for Windows.
  2. Seleccione la ficha “Configuración”.
  3. Amplíe el nodo Directory Sources.
  4. Seleccione el origen de Active Directory adecuado.
  5. Haga clic en Edit Controller...
  6. Seleccione el nuevo controlador de dominio.
  7. Se recomienda convertir al controlador de dominio seleccionado en el propietario de la función NT PDC FSMO del dominio

  8. Guarde la configuración.
  9. Detenga el servicio Identity Synchronization en el host donde opera el conector de Active Directory Connector.
  10. Elimine todos los archivos (pero no los directorios) en <raízservidor>/isw-<hostname>/persist/ADPxxx, donde xxx es la parte del número del identificador del conector de Active Directory Connector (por ejemplo, 100 si el identificador de Active Directory Connector es CNN100).
  11. Inicie el servicio Identity Synchronization en el host donde opera el Active Directory Connector.
  12. Siga los pasos según su flujo de sincronización en las secciones de sincronización unidireccional o bidireccional.

Sun Java(TM) System Directory Server

Tanto la base de datos de registros de cambios anteriores como la base de datos de usuarios sincronizados (o ambas) pueden sufrir un fallo crítico.

  1. Base de datos del registro de cambios anteriores.
  2. Puede haber cambios en la base de datos del registro de cambios anteriores que el conector de Directory Server no pueda procesar. Restablecer la base de datos del registro de cambios anteriores sólo tiene sentido si la copia de seguridad contiende cambios sin procesar. Esto puede llevarse a cabo comparando la entrada más reciente en el archivo <raízservidor>/isw-<hostname>/ADPxxx/accessor.state con el último changenumber en la copia de seguridad. Si el valor accessor.state es mayor o igual que changenumber en la copia de seguridad, no es necesario restablecer la base de datos, pero deberá crearse de nuevo.

    Después de volver a crear la base de datos de registro de cambios anteriores, asegúrese de que puede ejecutar idsync prepds o haga clic en Prepare Directory Server desde la ventana Sun Directory Source en la consola de gestión de Identity Synchronization for Windows.

    El conector de Directory Server detectará que la base de datos de registro de cambios anteriores se vuelve a crear y registrará un mensaje de aviso. Puede omitir estos mensajes con seguridad.

  3. Base de datos sincronizada.
  4. Si no hay copia de seguridad disponible para la base de datos sincronizada, entonces el conector Directory Server deberá instalarse de nuevo.

    Si la base de datos sincronizada puede restablecerse a partir de una copia de seguridad, siga los procedimientos descritos en las secciones de sincronización bidireccional o unidireccional.

Actualizaciones de la documentación de Identity Synchronization for Windows 1 2004Q3

Puede acceder a los archivos de la documentación en línea de Identity Synchronization for Windows mediante un explorador. Además, puede descargar todo el conjunto de documentación en formato HTML.

Una vez descargado el archivo, extráigalo a la siguiente ubicación:

<RaízServidor>/manual/en/isw

RaízServidor es la ubicación de Sun Java System Administration Server. La ruta real de RaízServidor depende de la plataforma, la instalación y la configuración. El directorio de RaízServidor contiene el programa startconsole.

Puede acceder directamente a la documentación desde<RaízServidor>/manual/en/isw/index.html
o desde Server Console, seleccionando Documentation Home en el menú Help.

Ejecución de Identity Synchronization for Windows en un entorno con cortafuegos

Puede ejecutar Identity Synchronization for Windows en un entorno con cortafuegos. Esta sección describe los puertos del servidor que debe exponer mediante el cortafuegos de la siguiente manera:

Requisitos de Message Queue

De forma predeterminada, Message Queue usa puertos dinámicos para todos los servicios excepto para su asignador de puertos. Para acceder al agente de Message Queue mediante un cortafuegos, el agente debe utilizar puertos fijos para todos los servicios.

Tras instalar el núcleo, debe definir las propiedades de configuración del agente imq.<service_name>.<protocol_type>.port. Específicamente, debe definir la opción imq.ssljms.tls.port. Consulte Sun Java™ System Message Queue Administrator’s Guide para obtener más información.

Requisitos del programa de instalación

El programa de instalación de Identity Synchronization for Windows debe poder comunicarse con Directory Server actuando como el directorio de configuración.

Requisitos de los núcleos

La interfaz de Message Queue, el administrador del sistema y de línea de comandos deben ser capaces de acceder a Directory Server donde la configuración de Identity Synchronization for Windows está guardada.

Requisitos de la consola

La consola de Identity Synchronization for Windows debe ser capaz de llegar a:

Requisitos del conector

Todos los conectores deben ser capaces de comunicarse con Message Queue. Además:

Requisitos de complementos de Directory Server

Cada complemento de Directory Server debe ser capaz de alcanzar el puerto del servidor del conector de Directory Server, que se seleccionó cuando se instaló el conector. Los complementos que se ejecutan en réplicas de Directory Server Master deben ser capaces de conectarse a LDAP (puerto 389) o LDAPS (puerto 636) de Active Directory. Los complementos que se ejecutan en otras réplicas de Directory Server deben poder llegar a los puertos LDAP o LDAPS de Directory Server del maestro.


Limitaciones y problemas conocidos

Esta sección contiene una lista de los problemas conocidos de Identity Synchronization for Windows 1 2004Q3 Se describen las siguientes áreas del producto:

Instalación y desinstalación

Instrucciones para limpiar manualmente el registro de producto. (5050004)

Si necesita eliminar referencias a Identity Synchronization for Windows del registro de producto, utilice los procedimientos descritos para las plataformas Windows NT y Windows 2000 en el capítulo 7, sección “What to Do if the 1.0 Uninstallation Fails” de Identity Synchronization for Windows Installation and Configuration Guide.

Las secuencias de comandos de Solaris no funcionarán si instala el núcleo en un directorio con espacios en su nombre. (4801643)

Las secuencias de líneas de comandos en Solaris no funcionarán si se instala el núcleo de Identity Synchronization for Windows en un directorio con un espacio en su nombre de ruta de acceso.

El agente de Message Queue no se puede iniciar si Base DN contiene espacios. (4892332 y 4892490)

No instale el núcleo en un sufijo que contiene espacios o el agente de Message Queue no podrá realizar la autenticación.

Efectos secundarios de la instalación de un núcleo con una instancia de Message Queue existente. (4882194)

La instalación del núcleo con una instancia de agente de Message Queue existente puede afectar a la instancia existente.
Por ejemplo, una configuración existente se modificó de la siguiente manera:

El agente de Message Queue requiere 512 MB de memoria como mínimo. (4819519)

El agente de Message Queue requiere 512 MB de memoria como mínimo. Debido a que el agente se instala como parte del núcleo, el equipo donde se instala el núcleo debe tener al menos 1 GB de RAM.

Desinstalación de complementos desde una instalación de instancia de varios Directory Server elimina el programa de desinstalación. (4916035)

No puede desinstalar varios complementos si dos instancias de Directory Server tienen la misma raíz de instalación del sistema de archivos (por ejemplo, /usr/sunone/servers/slapd-foxhead/usr/sunone/servers/slapd-foxhead2).

Solución del problema:

1. Abra la consola de Directory Server (del Directory Server donde se ha instalado el complemento).

2. Haga clic en la ficha Configuration.

3. Haga doble clic en la carpeta Plugins para expandir el árbol de complementos.

4. Haga clic en pswsync y desactive la casilla de verificación Enable plug-in.

5. Reinicie Directory Server.

Comportamiento indeterminado del conector de Active Directory si se cancela la instalación antes de finalizar y cuando se intenta la reinstalación. (5038905)

Si el programa de instalación se cancela mientras se está configurando el conector y cuando el programa de instalación se ejecuta de nuevo, la opción del conector no está disponible para la instalación.

Solución del problema
Ejecute idsync resetconn en el indicador de la línea de comandos para restablecer la configuración del conector y luego vuelva a ejecutar el programa de instalación para volver a instalar el conector. Para obtener más información sobre la ejecución del comando idsync resetconn, consulte Sun Java System Identity Synchronization for Windows Installation and Configuration Guide.

Las claves de registro que pertenecen al producto no se eliminan cuando se desinstala el producto. (5045237)

Tras realizar una desinstalación del núcleo, los nodos relacionados de Sun Java System Identity Synchronization for Windows en el archivo de registro de producto no se eliminan. Para volver a instalar con éxito el producto, debe eliminar manualmente los nodos de las claves de registro del producto. Si desea obtener más información sobre la eliminación de estas claves de registro de producto, consulte Identity Synchronization for Windows Installation and Configuration Guide. Esta situación sólo ocurre en Solaris 8.

Las referencias relacionadas con Identity Synchronization for Windows se muestran en la Consola cuando se desinstala el núcleo sin conectarse al registro de configuración. (5049700)

Se muestra un mensaje de error cuando se inicia la consola tras realizar una desinstalación ciega (sin conectarse al registro de configuración) de Identity Synchronization for Windows.

El directorio “temp”, donde se guardan los registros de instalación, puede ser un directorio oculto. (5051905)

En la carpeta C:\ Documents and Settings > Administrador > Configuración local puede ser una carpeta oculta en determinados sistemas Windows.

Solución del problema
Para ver la carpeta Configuración local y la carpeta secundaria Temp, debe estar seleccionada la opción Mostrar archivos ocultos del explorador de Windows. Como método alternativo, escriba cd %TEMP o cd %TMP en el símbolo de comandos para ver los archivos de registro relacionados con la instalación en el directorio. Los registros se pueden ver con Notepad.

La autenticación al agente de Message Queue falla si el sufijo de raíz contiene espacios. (4892903)

La configuración de Identity Synchronization for Windows debe guardarse en sufijos raíz que no tengan espacios debido a una limitación de Message Queue.

Solución del problema
Cree un nuevo sufijo raíz para guardar la configuración de Identity Synchronization for Windows antes de instalar el núcleo.

Tras una instalación fallida del complemento de Directory Server, la lista de tareas pendientes muestra que se ha terminado la instalación del complemento. (5081912)

En algunas situaciones, la lista de tareas pendientes puede mostrar que el complemento de Directory Server se ha instalado, aunque en realidad la instalación del complemento haya fallado.

Durante la desinstalación de un conector, el programa de desinstalación no muestra correctamente el espacio en el disco que recuperará. (5081823)

El programa de desinstalación muestra incorrectamente 0 bytes (como el número de bytes que recuperará después de la desinstalación), cuando desinstala un conector. Cuando se observan las propiedades del espacio en el disco, el tamaño real de espacio en el disco recuperado no será cero.

El programa de instalación no le obliga a instalar componentes en el mismo directorio donde se ubica el directorio de instalación del complemento de Directory Server. (5080178)

Si el complemento de Directory Server es el primer componente instalado en el equipo, todas las instalaciones de componentes posteriores que se realicen en ese equipo en particular deberán efectuarse en el mismo directorio de instalación (el del complemento de Directory Server). Sin embargo, el programa de instalación no impone estos criterios durante la instalación.

El programa de desinstalación puede mostrar información incorrecta al desinstalar los componentes. (5079489)

Cuando se desinstala un conector de un equipo donde el componente núcleo no está instalado, el instalador notificará incorrectamente que se está desinstalando el componente núcleo. Este mensaje de error puede ignorarse. Las referencias de la consola de Identity Synchronization for Windows no se eliminan si se está llevando a cabo un procedimiento de desinstalación cuando no existe directorio de configuración. (5077156)

Cuando se selecciona la opción de desinstalar el producto sin el directorio de configuración, Sun Server Console retiene todas la referencias a la consola de Identity Synchronization for Windows. Después de desinstalar el producto, el icono de Identity Synchronization for Windows seguirá existiendo en el árbol de topología. Al intentar mostrar la consola, ocurre un error. Si desea obtener más información sobre la eliminación de referencias de consola, consulte el capítulo 8, en la sección “Uninstalling the Console Manually” de Identity Synchronization for Windows Installation and Configuration Guide.

La desinstalación no elimina el directorio “server-root/isw-*/lib” y los archivos jar. (5038284)

La operación de desinstalación no elimina el directorio lib que contiene los archivos *.jar. El directorio y los archivos deberán eliminarse manualmente.

Comportamiento imprevisto del conector de Active Directory si se cancelan las operaciones de instalación y se intenta instalar de nuevo. (5038905)

Si está instalando el conector de Active Directory y el proceso de instalación se cancela de forma brusca y se intenta realizar de nuevo la instalación, el conector de Active Directory muestra que el componente está instalado, aunque no lo esté en realidad. Este estado no cambia y la operación de sincronización no se produce. Tampoco es posible volver a instalar el conector de Active Directory cuando se intenta hacerlo.

Solución del problema
Debe ejecutar el comando idsync resetconn para volver a instalar el conector. Para obtener más información sobre la ejecución del comando idsync resetconn, consulte Identity Synchronization for Windows Installation and Configuration Guide.

La instalación de Identity Synchronization for Window falla si Directory Server 5.2p3 está instalado con Sun Java Enterprise System 3. (5092530)

No es posible instalar el producto Identity Synchronization for Windows en Directory Server 5.2 P3 o superior. Identity Synchronization for Windows 1 2004Q3 sólo es compatible con Sun Java Enterprise System 3 (Directory Server 5.2 P3) como origen de sincronización de datos.

La lista de instalación solicita que se instale el complemento de Directory Server en el maestro secundario incluso después de haberlo instalado. (5096593)

La lista de tareas pendientes suele ser correcta casi siempre, pero puede que a veces omita pasos requeridos o que no reconozca que se han realizado ciertos pasos. Por ejemplo, es posible que no refleje correctamente qué complementos de Directory Server se han instalado o cuáles deben instalarse.

La instalación de Identity Synchronization for Windows en sistemas FAT32 no dispone de listas de control de acceso (ACL). (5097751)

Después de instalar Identity Synchronization for Windows en una unidad cuyo formato sea FAT32, al intentar buscar los archivos y las carpetas mediante las ACL, se observa que las ACL no existen. Se recomienda evitar la instalación en particiones que no sean NTFS.

Al intentar desinstalar sólo el complemento, el proceso puede fallar si se usa la versión comprimida de Directory Server. (5101589)

Cuando se intenta desinstalar sólo el complemento, el procedimiento falla si se usa el paquete de archivos comprimidos de Directory Server.

La operación de instalación falla si se usa un nombre de administrador de varios bytes cuando se le solicita dicho nombre. (5109332)

Si especifica un nombre de administrador LDAP de varios bytes cuando se le solicita durante la instalación del núcleo, la operación falla. Se muestra un mensaje de error que indica que el programa de instalación no puede cargar el archivo de esquema /var/opt/isw/SUNWisw/misc/40so-psw.out.ldif y que es necesario consultar el archivo de registro del programa de instalación para obtener más detalles. El proceso de instalación se interrumpe y la ventana del cuadro de diálogo se cierra de forma brusca.

Solución del problema
Use el nombre de administración LDAP predeterminado, que es “admin”, para la operación de instalación con objeto de evitar este problema. Si una instalación previa ha fallado, reinicie el programa de instalación y vuelva a instalar el núcleo usando el nombre predeterminado. Se mostrará un mensaje que indica que se han hallado archivos del núcleo en el equipo. Puede hacer caso omiso de este mensaje sin problema. Ahora puede continuar con la operación de instalación.

Conectores y complementos

La eliminación de una entrada existente inicia la sincronización de NT Connector. (4864009)

Las instalaciones con usuarios de Windows existentes (Active Directory o NT) deben ejecutar un comando idsync resync antes de iniciar la sincronización, para evitar los comportamientos no definidos (como que usuarios de Windows existentes se sincronicen con Directory Server en cualquier momento).

Reinicie los conectores si están inactivos. (4938309)

Si el registro de errores central envía un mensaje parecido a No response from connector [CNN100] for 10 minutes, deberá detener y reiniciar el daemon/servicio de Identity Synchronization for Windows donde se está ejecutando el conector.

Solución del problema

Reinicie Directory Server tras permitir Capa de Conexión Segura (SSL) para el complemento de Directory Server. (4944804)

Debe reiniciar Directory Server tras activar Capa de Conexión Segura (SSL) para el complemento de Directory Server (componente secundario) y agregar el certificado Active Directory CA a la base de datos de certificados de Directory Server o la sincronización a petición puede fallar al intentar autenticar un usuario al que se ha cambiado la contraseña en Active Directory (vea los mensajes de registro de ejemplo).

Si se agota el tiempo de espera de las búsquedas de Active Directory, el administrador debe aumentar el límite de búsqueda. (4881182)

Si el registro de error de Active Directory notifica un error de límite de tiempo superado para un conector, use ntdsutil del kit de recursos de Windows 2000 para aumentar el tiempo de espera máximo de búsqueda de la siguiente manera:

C:€dif>ntdsutil
ntdsutil: ldap policies
ldap policy: connections
server connections: set creds example.sun.com administrator password
server connections: connect to server matar
Binding to matar as user(administrator) in domain(example.sun.com) ...
Connected to matar as user(administrator) in domain(example.sun.com) ...

server connections: quit
ldap policy: show values

Policy

Current(New)

MaxPoolThreads

4

MaxDatagramRecv

1024

MaxReceiveBuffer

10485760

InitRecvTimeout

120

MaxConnections

5000

MaxConnIdleTime

900

MaxActiveQueries

20

MaxPageSize

1000

MaxQueryDuration

120

MaxTempTableSize

10000

MaxResultSetSize

262144

MaxNotificationPerConn

5

ldap policy: Set InitRecvTimeout to 2400

ldap policy: Commit Changes

Sun Java System Directory Server no procesará los atributos binarios creados sin el subtipo ;binary. (5029226)

Determinados atributos como userCertificate requieren la opción ;binary en la instancia de creación. Identity Synchronization for Windows puede sincronizar los valores de dichos atributos, pero no define la opción ;binary en el momento de creación. Esto puede provocar problemas para los clientes que se están comunicando con Sun Java System Directory Server. Sun Java System Directory Server no devuelve dicho atributo si se ha creado sin la opción binary y el cliente solicita el atributo con esta opción.

Identity Synchronization for Windows no valida el número de caracteres utilizados cuando crea el atributo user_name. (5021886)

NT SAM tiene un límite de 20 caracteres para el atributo “user_name”, sin embargo, Sun Java Directory Server no tiene ninguna restricción en el número de caracteres utilizados para crear el nombre de usuario. La entrada asignada al atributo “user_name” en NT SAM no se puede utilizar aunque se transmita con éxito de NT SAM a Sun Java Directory Server. Un mensaje de error se muestra cuando se editan las propiedades de la entrada o se visualizan en NT SAM.

Consola y línea de comandos

Ejecute idsync prepds si los archivos de la base de datos de registros de cambios anteriores se vuelven a crear, están dañados o faltan. (4921114 y 4832355)

Si la base de datos de registros de cambios anteriores (RCL) se elimina o está dañada, Directory Server o el conector de Directory Server enviará mensajes de advertencia. Cuando vea estos mensajes, deberá volver a crear el registro de cambios anteriores y volver a ejecutar el comando idsync prepds antes de que la sincronización continúe.

Las opciones del botón Browse para Base DN no cambian tras seleccionar un nuevo contexto de nombres. (4944711)

Si configura Identity Synchronization for Windows en la consola para utilizar más de un origen de Directory Server y más de dos orígenes de Active Directory (AD), cuando configura una lista de usuarios sincronizada (SUL), las opciones del botón Browse que se presentan para la base DN puede que no reflejen de forma precisa los orígenes de Directory Server o Active Directory.

Solución del problema
Escriba manualmente el nombre de Base DN en el campo Base DN.

El host del esquema de la consola debería apuntar al directorio de configuración. (4877996)

Cuando especifica un host de esquema, se recomienda que utilice únicamente el directorio de configuración principal. No utilice un Directory Server independiente o cualquier otro directorio de configuración remoto.

La ventana Console Status no proporciona la accesibilidad 508 para visualizar los archivos de registro. (4874361)

El visualizador de archivos de registros de la ventana Console Status no permite que una interfaz sin ratón vea los archivos de registro.

Solución del problema
Para ver los archivos de registro, copie los archivos a un editor de texto preferido (fuera del visualizador de registros de la consola).

El estado de la consola de Message Queue no indica correctamente el estado actual de los componentes del sistema. (4937312)

Si la conexión de red se interrumpe entre la consola y MessageBroker, la consola notificará un estado incorrecto de los componentes del sistema.

Solución del problema
Si se producen errores de red, reinicie la consola. También puede ejecutar el comando idsync printstat para recibir una vista más precisa del estado de la cola del mensaje.

Se muestra un mensaje para preparar Directory Server aunque Directory Server ya se ha preparado cuando agregar un origen de datos nueva a Directory Server. (5029558)

Siempre que crea un nuevo origen de Sun Java System Directory Server, se le solicitará que prepare el origen de Directory Server. Si ya ha preparado el origen de directorio, puede hacer clic tranquilamente en la opción “No”.

Se muestra el mensaje “Resetting...” cuando se ejecuta el comando CLI resetconn. Se produce un error al restablecer la contraseña y toda la información acerca del origen de Directory Server, configuración, etc. se elimina. (5039655)

La consola no debe ejecutarse cuando se ejecuta la función de línea de comandos resetconn. Si no sale de la consola antes de ejecutar el comando, aparecerá el mensaje “Resetting...”. Ahora debe salir de la consola y reiniciarla.

El comando “startsync” no se ejecuta. Se muestra el mensaje de error “Failed to start synchronization for some of the requested directory sources...”. (5050443)

En determinadas condiciones (por ejemplo, en caso de memoria insuficiente), es posible que la línea de comandos o la consola de gestión notifique que “Start synchronization” se ha realizado con éxito incluso sin los componentes no han podido iniciar la sincronización. Si tiene problemas de sincronización, compruebe si hay mensajes relacionados con la memoria en el registro de errores.

El atributo parametrizado falla en caso de existir varios valores para atributos de valor único. (5069907)

La sincronización falla cuando se especifican valores múltiples en vez de un valor individual para atributos de valor único. Se mostrará un mensaje de error o aviso cuando se estén guardando los valores en Directory Server.

Cuando se ejecuta el comando idsync, se muestran las contraseñas como texto no cifrado en la pantalla. (4900126)

Cuando el comando idsync pide las contraseñas de enlace y configuración, al introducir las contraseñas, se muestran como texto no cifrado y sin encriptar.

Solución del problema
Para evitar que se muestren contraseñas en la pantalla, guarde cada contraseña en un archivo protegido y, a continuación, redirecciónelo a la línea de comandos. Si se proporciona la opción “-” para todos los argumentos de contraseña, el comando idsync pedirá los valores de la contraseña en el orden en el que aparecen las opciones en la línea de comandos. Por ejemplo, si la contraseña del administrador es adminPw y la contraseña de configuración es configPw, cree un archivo (passwords.txt) cuyo contenido sea:
adminPw
configPw
Y a continuación ejecute idsync printstat -w - -q - < passwords.txt para ejecutar el comando.

Error al cargar los archivos de registro. (5091787)

En algunos casos, al cargar el archivo audit.log en la consola, en la ficha de estado, se muestra un mensaje de error que indica que no se pueden recuperar las entradas del registro debido a un error desconocido y que es necesario reiniciar el servidor de administración.

Solución del problema
El archivo audit.log se cargará cuando se acceda a él, en los intentos siguientes que se efectúen para cargar el archivo.

Prepds muestra un mensaje de error en la configuración o la migración de una configuración de réplica de varios maestros (MMR). (5093124)

Durante la migración de un entorno replicado, es posible que idsync prepds indique que la replicación del esquema ha fallado, aunque en realidad no haya sido así. Por ejemplo, el mensaje de error puede indicar que la instancia preferida de Sun Java System Directory Server, ubicada en ldap://preferred.example.com:389, ha fallado al replicar los cambios de esquema a la instancia secundaria de Sun Java(TM) System Directory Server, ubicada en ldap://secondary.example.com:389. También se le indicará que compruebe los ajustes de replicación. Si se da este caso, ejecute idsync prepds de nuevo con los mismos argumentos. Deberá comprobar los ajustes de replicación sólo si en esta segunda ejecución de idsync prepds se obtiene el mismo mensaje de error.

Es posible que no se pueda usar Reflection X 10.0 para acceder a la consola. (5095013)

Puede que algunos cuadros de diálogo no se puedan usar porque los botones o los cuadros de texto no se puedan ver o porque no se pueda cambiar el tamaño de los cuadros de diálogo.

Los mensajes de registro de la consola presentan caracteres dañados de varios bytes. (6174184)

Los caracteres de varios bytes se incluyen en el registro sólo cuando se usa un nombre de lista de usuarios de sincronización de varios bytes o cuando se está sincronizando un sufijo de varios bytes. Para ver los mensajes correctamente, abra el archivo de registro (/var/opt/SUNWisw/logs/central/error.log) en un visualizador que admita documentos codificados mediante UTF-8.

Los comandos startsync y stopsync no funcionan normalmente cuando se cambia la contraseña de configuración. Se muestra un mensaje de error. (6175396)

Si se cambia la contraseña de configuración de Identity Synchronization for Windows usando el comando idsync changepw y no se reinicia el equipo, los comandos idsync startsync y stopsync no funcionarán correctamente. Dichos comandos mostrarán un mensaje de error que indica que el mensaje recibido no estaba cifrado y devolverá un código de salida 1.

A pesar de que se muestre este mensaje de error, la operación de inicio o detención de la sincronización se produce realmente. Para asegurarse de ello, ejecute el comando idsync printstat. Para evitar que se produzca este problema, reinicie el equipo cada vez que cambie la contraseña de configuración.

Sincronización de contraseña

Problemas con la política de contraseñas. (4834865 y 4811572)

Es posible que las políticas de contraseñas utilizadas en distintos directorios provoquen errores de sincronización. Algunos ejemplos incluyen la longitud de la contraseña y el número de caracteres máximo y mínimo requeridos. Los administradores deben cambiar manualmente la política de contraseñas incompatible para que coincida con la de otros sistemas.

Los atributos correspondientes o contraseñas que se hayan modificado simultáneamente no se sincronizan bien. (4854183 y 4808601)

Si se está sincronizando una entrada entre dos orígenes de directorio y se realizan modificaciones simultáneas en un atributo, es posible que el atributo no se sincronice adecuadamente. Por ejemplo, considere esta secuencia de eventos.

Igualmente, si se modifica una contraseña de usuario en Active Directory (AD) y Directory Server aproximadamente al mismo tiempo, es probable que la contraseña no se sincronice adecuadamente en determinadas situaciones.

En sistemas con poca carga, las modificaciones de contraseña deberían producirse con pocos segundos de diferencia entre unas y otras para desincronizarse. Aunque esta situación puede producirse incluso si la contraseña de AD se ha modificado después de que se haya definido en el valor de Directory Server, es poco probable ya que la contraseña de AD debería modificarse tras unos pocos milisegundos de haberse definido en el valor de Directory Server.

Trabajo con la función “user must change password at next login” de Active Directory. (4827180)

Si un administrador cambia una contraseña de usuario en Active Directory (AD) y especifica “user must change password at next logon”, el cambio de contraseña no se sincronizará en Directory Server hasta que el usuario inicie sesión y cambie su contraseña.

La autenticación de usuario fallará en estas circunstancias:

  1. El usuario cambia su contraseña en AD. (La contraseña se aplica a Directory Server y la contraseña de Directory Server se invalida).
  2. El administrador restablece la contraseña del usuario y define el indicador “user must change password at next logon”.
  3. Si el usuario intenta acceder a Directory Server utilizando la contraseña de #1 o #2, el intento de inicio de sesión fallará. Si se cambia la contraseña en AD o Directory Server, se actualizará el valor de la contraseña de Directory Server.

Si se especifica una contraseña que no utilice caracteres ASCII en NT o Active Directory con el complemento de comprobación de 7 bits activado, la contraseña no se sincronizará con Directory Server. (4817344)

En Directory Server, el complemento de comprobación de 7 bits (componente secundario) está activado de forma predeterminada para los valores del atributo userpassword. Consulte: http://docs.sun.com/source/816-6699-10/plugattr.html

Si sincroniza contraseñas que no se hayan procesado en 7 bits desde Windows a Directory Server y a continuación activa y configura este complemento para los valores de atributos userpasssword, la sincronización tendrá un error.

Debe tener cuidado al sincronizar contraseñas con caracteres que no sean ASCII porque la codificación de caracteres del valor de la contraseña no se mantiene. Por tanto, los clientes de Windows y los clientes de Directory Server deben utilizar la misma codificación de caracteres cuando cambian contraseñas (y en casos de autenticación) o la operación presentará un fallo.

No se admiten varios valores de contraseña. (4807350)

No se admiten varios valores de contraseña de usuario.

Resync no reanuda automáticamente el proceso resync cuando se reinicia el gestor del sistema. (5077660)

Cuando se ejecuta el comando resync y se reinicia el gestor de sistema, resync no se recupera automáticamente y no reinicia el proceso.

Cuando se lleva a cabo una resincronización, los atributos de creación pueden eliminarse. (5085134)

Las actualizaciones simultáneas a un atributo no se sincronizan. (5077760)

Este problema ocurre si se agrega un valor a un atributo al mismo tiempo aproximadamente que un valor diferente también se añade al atributo en la entrada de directorio remoto correspondiente. Puede que el atributo no se sincronice.

Cuando se lleva a cabo una resincronización, el conector de Directory Server no recibe las acciones de enlace ni siquiera si se anula la operación de resincronización. (4985505)

Cuando se ejecuta resync -c -o Sun, las acciones LINK se envían al Directory Server después de que se hayan creado nuevos usuarios en Active Directory. Estas acciones LINK no son recibidas por el conector Directory Server aunque la operación resync se haya anulado. Actualmente, estas acciones LINK se publican en el mismo tema temporal MQ en el que se publican todas las acciones resync/linkusers.

Las entradas eliminadas puede que no se sincronicen desde el Directory Server a Active Directory debido a problemas conocidos en el complemento de Directory Server Retro-Change Log. (5077814)

El complemento de Directory Server Retro-ChangeLog puede fallar al almacenar dspswuserlink en la entrada del complemento de una entrada eliminada. Si ocurre esto, la sincronización para la entrada eliminada de la entrada de Directory Server al Active Directory no tiene lugar.

Solución del problema
Para resolver este problema, asegúrese de que ha actualizado Directory Server con el parche que resuelve este problema. Si desea más información sobre los parches necesarios para resolver este problema, consulte la sección Parche de Sun Java(TM) System Directory Server 5 2004Q2 Retrochangelog.

Sun Java System Message Queue

El administrador del sistema no puede conectarse a Message Queue. (4907711)

El administrador del sistema no puede conectarse a Message Queue que está funcionando.

Solución del problema
Reinicie el servicio/daemon de Identity Synchronization for Windows donde está instalado el núcleo.

Aumente la memoria máxima del agente de Message Queue para la instalación de más de 100.000 usuarios. (4924939)

Identity Synchronization for Windows configura el agente de Message Queue para que, de forma predeterminada, utilice un máximo de 512 MB de memoria, que es suficiente para la mayoría de las instalaciones. Sin embargo, para instalaciones superiores a 100.000 usuarios, debe aumentar la memoria a 1 GB para asegurar un rendimiento óptimo. Para instalaciones de más de 200.000 usuarios, aumente la memoria a 2 GB.

Si el componente principal de Identity Synchronization for Windows está instalado en Solaris, siga estos pasos para aumentar el límite de memoria del agente de Message Queue:

  1. Utilice el siguiente comando para detener el agente de Message Queue:
  2. /etc/init.d/imq stop

  3. Edite el archivo /etc/imq/imqbrokerd.conf para cambiar la configuración de memoria predeterminada actual de -Xmx512m a -Xmx1024m para 1 GB de memoria o -Xmx2048m para 2 GB de memoria.
  4. Utilice el siguiente comando para iniciar el agente de Message Queue:
  5. /etc/init.d/imq start

Si el núcleo de Identity Synchronization for Windows se instala en Windows 2000, siga estos pasos para aumentar el límite de memoria del agente de Message Queue:

  1. Utilice la consola Windows Services Management y detenga el servicio del agente de Message Queue.
  2. En el directorio <raíz-instalación>/isw-<nombre-equipo>/imq/bin, utilice el comando imqsvcadmin query en la línea de comandos. El resultado debería ser parecido al siguiente:
  3. Service iMQ Broker is installed.

    Display name: iMQ Broker

    Start Type: Automatic

    Binary location: C:\sunone\servers\isw-example\imqin\imqbrokersvc

    JREHome: c:/j2sdk1.4.2/jre/

    VM Args: -Xmx512m

    Broker Args: -passfile "C:/sunone/servers/isw-example/imq/etc/passfile.properties"

    -DimqConnectionType=TLS -port 7676 -name psw-broker

  4. Guarde la salida de este comando en un archivo.
  5. Desinstale el servicio de agente de Message Queue enviando el comando imqsvcadmin remove.
  6. Antes de continuar, debe reiniciar el equipo Windows 2000 donde se ha instalado el núcleo.
  7. En el directorio <raíz-instalación>/isw-<nombre-equipo>/imq/bin, envíe el comando siguiente utilizando la salida guardada del comando imqsvcadmin query enviado anteriormente. Por ejemplo:
  8. imqsvcadmin install -jrehome c:/j2sdk1.4.2/jre/ -vmargs -Xmx1024m -args "-passfile C:/sunone/servers/isw-example/imq/etc/passfile.properties -DimqConnectionType=TLS -port 7676 -name psw-broker"

    En el que:

    • El argumento -args se rellena desde el campo Broker Args.
    • El argumento -jrehome se rellena con el campo JREHome.
    • Para aumentar la memoria a 1 GB, use -vmargs -Xmx1024m.
    • Sólo para Java VM de 64 bits: Para aumentar la memoria a 2 GB, use-vmargs -Xmx2048m
      El valor de memoria más alto para Java VM de 32 bits es -Xmx1750m
  9. Utilice la consola Windows Services Management para iniciar el servicio del agente de Message Queue.

Inicio y parada del agente de Message Queue. (4809493)

En Windows, el agente de Message Queue se ejecuta como servicio y los administradores pueden controlar el servicio del agente de Message Queue mediante el panel de control del servicio.

Para iniciar y detener el agente, debe reiniciar el equipo tras instalar el núcleo porque el proceso del administrador del servicio no puede ver la variable de entorno IMQ_JAVAHOME necesaria hasta que se reinicie Windows. Esta situación sólo se produce si se ha instalado Message Queue con el núcleo (es decir, no se ha utilizado un Message Queue anterior).

Utilice los siguientes comandos:

/etc/init.d/imq (parada o inicio)

No admite la utilización de Message Queue en un equipo en el que no esté instalado el núcleo. (4943576)

Los núcleos de Identity Synchronization for Windows y Message Queue deben estar instalados en el mismo host.

Problemas generales

Todavía puede haber errores cuando la sincronización se inicia con éxito. (4814324)

Incluso si idsync startsync indica que se ha realizado con éxito, debe comprobar el registro de errores central para verificar que los conectores han podido conectarse a sus orígenes de directorio.

Se recomienda colocar el directorio de configuración y el origen del directorio en instancias de Directory Server separadas para configurar MMR. (4943470 y 4943480)

En una configuración de réplica de varios maestros (MMR), Sun recomienda que se coloque el directorio de configuración y el origen del directorio en instancias de Directory Server separadas y que configure los acuerdos de réplica antes de instalar Identity Synchronization for Windows.

Si designa la misma instancia de Directory Server como el directorio de configuración y Directory Server preferido (datos de usuario) y crea acuerdos de réplica tras instalar Identity Synchronization for Windows, los elementos de esquema creados por la instalación principal de Identity Synchronization for Windows se eliminarán. Si esto sucede, Identity Synchronization for Windows no se ejecutará.

Solución del problema
Para actualizar el esquema si se borra accidentalmente:

  1. Copie el archivo 40so-psw.ldif (que contiene los objetos de esquema del registro de configuración sólo para el paquete de instalación) al directorio de esquema de la instancia de Directory Server.
  2. Cambie el nombre del archivo 40so-psw.ldif.
  3. Algunas referencias del esquema no se cargan cuando 40so-psw.ldif se procesa al inicio (consecuencia: el servidor no arranca).

  4. Copie el archivo renombrado al directorio de esquema de ambos maestros. (Desde el punto de vista del servidor, el esquema no se ha cambiado sobre el protocolo porque el número de secuencia de cambios de la entrada del esquema sigue siendo el mismo).

Los atributos utilizados durante la operación de enlace deberán ser indexados en Directory Server. (4814412)

Cuando los usuarios de enlace utilizan idsync resync (-f <filename> option), el comando busca el Directory Server para usuarios que coincidan con usuarios de Active Directory o Windows NT. Todos los atributos de Directory Server utilizados en una operación idsync resync deberán indexarse para su equiparación.

El registro central no se puede apagar. (4945507 y 4933217)

Aunque el registro central de Identity Synchronization for Windows (que registra en archivos, syslog o ambos) parece que permite desactivar la creación de registros, el registro central continuará registrándose en la ubicación especificada anteriormente.

Por ejemplo, si especifica el registro syslog en la consola (con el registro de archivos desactivado) y luego desactiva el registro syslog, el programa continuará creando registros en syslog. Si especifica el registro de archivos en la consola (con el registro syslog desactivado) y luego desactiva el registro de archivos, el programa continuará creando registros en archivos.

Se produce el mismo comportamiento si no se selecciona “Write logs to file” y syslog no se ha utilizado nunca. En este caso, el programa continúa escribiendo registros en el directorio.

El reinicio del servicio de Identity Synchronization for Windows no tiene efecto, la creación de registros continuará.

EL botón Synchronization User List Browse puede no funcionar adecuadamente. (4944348)

Si busca una Base DN en el asistente de creación de lista de usuarios de sincronización (SUL) o en el panel del editor, se recomienda comprobar la Base DN obtenida utilizando el botón Browse. En algunos casos, el botón buscará en el directorio incorrecto y presentará una Base DN no válida.

Desactivación de cuentas de usuario en Active Directory. (4943785)

Si un usuario invalida una cuenta de usuario y cambia la contraseña en Active Directory (AD), no podrá autenticarse mediante AD con la nueva contraseña. Sin embargo, tras desactivar una cuenta de usuario en AD, todavía podrá iniciar la sesión mediante Sun Java System Directory Server.

Cambio del puerto del directorio de configuración. (4941271)

Si cambia el puerto por un Sun Java System Directory Server que en la actualidad se utiliza como un directorio de configuración de Identity Synchronization for Windows, también debe ajustar la configuración de Identity Synchronization for Windows de forma que el software reconozca el cambio de puerto o Administrador del sistema y el agente de Message Queue no funcionarán.

Solución del problema

  1. Modifique el puerto en <imq_installroot>\imq\var\instances\psw-broker\props\config.properties.
    Por ejemplo, imq.user_repository.ldap.server=<host>\:<port>
  2. Modifique el puerto en <isw_installroot>\resources\SystemManagerBootParams.cfg
    Por ejemplo, <Parameter name="manager.configReg.hostPort" value="<port>"/>
  3. Reinicie el servicio/daemon de agente de Message Queue.
  4. Reinicie el servicio/daemon de Identity Synchronization for Windows.

La compatibilidad con atributos con varios valores distintos es limitada. (4987930 y 4807260)

Identity Synchronization for Windows sólo proporciona una compatibilidad limitada para la sincronización de atributos de varios valores distintos porque los resultados no están definidos. Se aplican las siguientes restricciones:

Active Directory trata los atributos de descripción como de un único valor incluso si el esquema de AD los describe como de varios valores. (4938940)

Cuando agrega entradas a Directory Server utilizando un atributo de descripción de varios valores, el siguiente error DSID-031D0809 aparecerá en audit.log del conector de Active Directory (AD):

La entrada existirá en Directory Server pero no en AD.

Este problema parece ser un defecto de Active Directory. Para obtener más información, consulte la Knowdlege Base de Microsoft (286760):

http://support.microsoft.com/default.aspx?scid=kb;en-us;286760&Product=win2000

Solución del problema
Elimine la entrada de Directory Server, convierta el atributo de descripción en un atributo de un solo valor y vuelva a agregar la entrada.

Además, no inicie más de un atributo para la descripción en el cuadro de diálogo Define Creation Attribute Mappings and Values.

No se presenta ningún mensaje de error del complemento cuando el certificado Capa de Conexión Segura es de confianza. (4924027 y 4924705)

En una configuración de réplica de varios maestros (MMR), si un complemento de Identity Synchronization for Windows (componente secundario) se comunica utilizando Capa de Conexión Segura (SSL) y un problema de SSL provoca un fallo, si el complemento no genera mensajes de error, probablemente falta un certificado CA del certificado del servidor peer (donde el peer puede ser un maestro preferido, un maestro secundario o Active Directory) en la base de datos de certificados de Directory Server en el que se está ejecutando el complemento.

Puede utilizar la utilidad de línea de comandos idsync certinfo para identificar los certificados que faltan. Esta utilidad identifica los certificados que son necesarios en cada una de las bases de datos (los certificados que espera el producto).

Los usuarios creados en Sun Java System Directory Server deberían incluir todos los atributos en los filtros de lista de usuarios sincronización. (4900568)

Si está sincronizando creaciones desde Sun Java System Directory Server a Windows y las definiciones de la lista de usuarios de sincronización (SUL) de Directory Server incluye filtros, intente crear una entrada con valores de atributos que no coincidan con el filtro SUL, la creación de la entrada no debería aplicarse porque los atributos no están en la SUL. Además, dado que la creación original no se ha difundido, la entrada de Directory Server no se encontrará en Windows.

Solución del problema
Si se produce esta situación, se registrará una advertencia y el administrador deberá ejecutar idsync resync -c -o Sun para crear la entrada de Directory Server en Windows.

Si modifica la entrada de forma que los atributos coincidan con el filtro SUL, las modificaciones realizadas a la entrada se difundirán a Windows.

Retraso de sincronización a petición provocado por NetBIOS. (4876741)

Un intento de sincronizar dos dominios de Active Directory (AD), utilizando un Directory Server y una configuración de núcleos en Windows 2000, provocó un retraso cuando la función de sincronización de contraseñas a petición del complemento de Directory Server estaba hablando con AD. La mayoría de las consultas a AD requieren unos pocos milisegundos. Un seguimiento de paquetes ha identificado varios paquetes NBNS (NetBIOS Name Service) sospechosos.

Solución del problema
Para solucionar el problema, debe acceder a la configuración de TCP/IP del equipo Directory Server y desactivar NetBIOS sobre TCP/IP.

Espacios de nombres (temas) de Identity Synchronization for Windows utilizados por el bus de mensajes. (4827081)

Además,

La especificación de un host desde el cuadro de diálogo Global Catalog o Configuration Directory puede requerir algún tiempo. (4826109 y 4812651)

Cuando especifica un host al que no se puede acceder, no se muestra ningún indicador de progreso (como un cursor ocupado o una barra de estado) para indicar que hay algo funcionando.

Los nombres de usuarios de NT deben ser únicos. (4825636)

Cuando crea un usuario en Directory Server para que vaya a NT, debe asegurarse que el atributo de Directory Server asignado a USER_NAME tiene valores únicos.

Indique a los usuarios que aseguren los archivos de configuración XML mediante listas de control de acceso (ACL). (4812824)

Use protección de nivel de archivo para los archivos de configuración XML. Estos archivos pueden contener valores de contraseña de texto en blanco de forma que se deben asegurar utilizando los mecanismos proporcionados en su sistema, como ACL a nivel de archivos.

Relación de la lista de usuarios de sincronización y de base de datos. (4811577)

Identity Synchronization for Windows sólo admite una base de datos de Directory Server. Debe incluir todas las listas de usuario en una única base de datos de Directory Server.

El número de registros puede crecer sin límites. (4807451)

A menos que guarde o elimine los registros antiguos, el número de cada tipo de archivo de registro en Identity Synchronization for Windows crecerá sin límite (uno al día).

Los registros se nombran en el siguiente formato:

Se mantienen los siguientes registros:

Estos registros se encuentran en:

Una entrada con caracteres especiales no sincronizará de Directory Server a Active Directory. (4816867)

Identity Synchronization for Windows no puede resolver los caracteres especiales (debido a restricciones de asignación) y Active Directory (AD) no puede crear el usuario porque uno o más caracteres especiales se han utilizado en uid.

La consola AD no permite crear un “user logon name” que

El valor predeterminado del atributo useraccountcontrol evita la creación de clases de objeto de Active Directory que no sean de usuarios. (5043156)

Los usuarios no se pueden crear en Active Directory si la clase de objeto seleccionada para los nuevos usuarios no permite el atributo useraccountcontrol. Esta limitación no se aplica a las situaciones donde la clase de objeto de usuario o cualquier otra clase de objeto derivada del usuario permiten el atributo useraccountcontrol en Active Directory.

Solución del problema
Edite el usuario de configuración utilizando la consola de Directory Server. Encuentre y elimine el atributo useraccountcontrol.

Por ejemplo:

dn: cn=130,ou=AttributeDescriptions,cn=active[2],ou=GlobalConfig,ou=1.1,ou=Ide
ntitySynchronization,ou=Services,dc=central,dc=sun,dc=com
pswVersion: 2
pswName: useraccountcontrol
pswSyntax: 1.3.6.1.4.1.1466.115.121.1.5
pswValue: 512
pswPreferCreationAttributeDefaultToAction: false
cn: 130
objectClass: pswattributedescription
objectClass: top

Edite también todas las referencias al atributo useraccountcontrol, especialmente en el atributo pswCreationAttributeDefaultRef del esquema global de Active Directory.

Por ejemplo:

dn: cn=127,ou=ActiveDirectory,ou=Globals,cn=active[2],ou=GlobalConfig,ou=1.1,o
u=IdentitySynchronization,ou=Services,dc=central,dc=sun,dc=com

No se realiza ninguna validación para los valores predeterminados. (5051725)

Los valores predeterminados se pueden especificar para los atributos y se pueden aplicar a las entradas de directorio cuando se crean los atributos (consulte “Creation Attributes” en Sun Java System Identity Synchronization for Windows Installation and Configuration Guide). En la actualidad no se realiza ninguna validación en los valores de atributos que especifica. La especificación de varios valores para atributos que tienen un único valor dará un error en la creación de objetos durante la sincronización de las entradas. Cuando especifique valores de atributos, asegúrese de que los valores que especifica son compatibles con el esquema LDAP de su empresa.

Tratamiento inconsistente de las modificaciones si el usuario aparece en la lista de usuarios de sincronización (SUL). (4970664)

Si el usuario se encuentra en el ámbito de una lista de usuarios de sincronización (SUL) como resultado de una modificación (por ejemplo, la SUL tiene un filtro “l=Austin” y el usuario se ha modificado para que tenga el atributo l definido como Austin),Sun Java System Identity Synchronization for Windows trata esta actualización de usuario de forma distinta en Active Directory y en Sun Java System Directory Server:

También se sincronizan las entradas que cuentan con una clase de objeto estructural heredada de la clase de objeto seleccionada para sincronizar. (5046861)

Por ejemplo, si se selecciona la clase de objeto organizationalperson, los usuarios con la clase de objeto inetorgperson también se sincronizarán porque inetorgperson es una subclase de organizationalperson.

Para evitar que se realice esta acción, incluya un filtro en la SUL que excluya la subclase:
(!(objectclass=inetorgperson))

Normalmente esto producirá un problema cuando utilice resync para sincronizar las entradas eliminadas porque las subclases también se eliminarán. Por ejemplo, con Active Directory la clase de objeto computer se hereda de user, y las entradas de computer pueden eliminarse porque no tienen una entrada de Directory Server correspondiente. Para evitar que las entradas computer se sincronicen, incluya un filtro en la SUL que lo excluya:
(!(objectclass=computer))

Los archivos de registro no se eliminan automáticamente después de su fecha de caducidad. (5069020)

Los archivos de registro que son más antiguos que el número específico de días para su eliminación no se eliminan.

Los valores de atributo de creación predeterminados pueden configurarse incorrectamente o fallar en la lógica de validación. (5066657)

Si el nombre del atributo de creación es el mismo para Directory Server y el origen de datos Active Directory, al agregar valores predeterminados a uno se añadirán automáticamente los mismos valores predeterminados al otro origen.

Solución del problema
Elimine el mapa de atributos de creación y los atributos de creación de la consola y vuelva a agregarlos de nuevo. Antes de guardar, haga lo siguiente:
Si los nombres de los atributos asignados son los mismos y las sintaxis (OID) de los atributos en los esquemas Active Directory y Directory Server son las mismas:

El valor predeterminado del atributo useraccountcontrol evita la creación de clases de objeto de Active Directory que no sean de usuarios. (5043156)

Los usuarios no se pueden crear en Active Directory si la clase de objeto seleccionada para los nuevos usuarios no permite el atributo useraccountcontrol. La clase de objeto de usuario (o cualquier otra clase de objeto derivada del usuario) permite el atributo useraccountcontrol en Active Directory y no se ve afectada por esta limitación.

No se puede asignar InetOrgperson con una clase extendida que tenga un atributo obligatorio. (5091959)

Por ejemplo, se puede mostrar un mensaje de error que indique que no se han especificado valores o asignaciones de Sun para el atributo mail de Active Directory, donde mail es el atributo obligatorio que está asignado al atributo de correo de Sun.

En Identity Synchronization for Windows Installation and Configuration Guide no se menciona la existencia del botón “Siguiente” ni del panel “Resumen”. (5104768)

En Identity Synchronization for Windows Installation and Configuration Guide se afirma que, al final de cada ejecución, debe salir del asistente usando el botón “Cerrar” del panel de resumen de la instalación. Sin embargo, el botón “Cerrar” no existe en dicho panel. En el panel del resumen de la instalación, debe hacer clic en el botón “Siguiente”, lo que le permite acceder a un panel que describe los pasos de instalación y configuración que todavía debe efectuar. En las operaciones de instalación que no sean del núcleo, este panel cuenta con un botón “Terminado” que permite salir del asistente cuando se hace clic en él. Para las instalaciones del núcleo, el panel muestra un botón “Siguiente” que, al hacer clic en él, le permite desplazarse a otro panel donde se le pregunta si desea iniciar la consola. Desde este panel, puede salir del programa de instalación usando el botón “Terminado”.

Limitaciones en el uso con WAN. (5097751)

Identity Synchronization for Windows se puede implementar en un entorno de red de área amplia (WAN), aunque existen ciertas restricciones.

Excepto el complemento de Directory Server, todos los componentes de Identity Synchronization for Windows se deben instalar en la misma red de área local (LAN), por ejemplo, en el mismo equipo; es decir, no se debe producir tráfico de Message Queue a través de una WAN. Los componentes pueden comunicarse mediante una WAN con los controladores de dominio de Directory Server o Active Directory.

El rendimiento que se obtenga al usar una WAN depende de la latencia y de la velocidad de los enlaces. Se recomienda usar, como mínimo, una conexión T1 (1.544 Mbps) y una latencia no superior a los 300 MS entre cada conector y el directorio que dicho conector gestiona. En una instalación en la que Active Directory y Directory Server estén separados por una WAN, el mejor rendimiento se obtiene instalando el conector de Directory Server en la misma LAN que Directory Server y haciendo que el conector de Active Directory se comunique con Active Directory usando la WAN.


Archivos que se pueden distribuir

Sun Java System Identity Synchronization for Windows 1 2004Q3 no contiene ningún archivo que se pueda distribuir.


Información sobre problemas y respuestas de los clientes

Si experimenta problemas con Sun Java System Identity Synchronization for Windows, póngase en contacto con el servicio de atención al cliente de Sun usando uno de estos procedimientos:

Para que podamos ayudarle de forma óptima en la resolución de problemas, tenga a mano la siguiente información cuando se ponga en contacto con el servicio de asistencia:

Sun valora sus comentarios

Sun tiene interés en mejorar su documentación y valora sus comentarios y sugerencias. Para enviar sus comentarios a Sun, use el formulario basado en Web que aparece en:

http://www.sun.com/hwdocs/feedback/

Indíquenos el título completo de la documentación y el número de pieza en los campos pertinentes. Puede hallar el número de pieza en la página del título del libro o en la parte superior del documento. Normalmente, es un número que consta de siete o nueve dígitos. Por ejemplo, el número de pieza correspondiente a estas Notas de la versión Identity Synchronization for Windows 1 2004Q3 es 817-7851.


Recursos adicionales de Sun

Puede encontrar información útil de Sun Java System en las siguientes direcciones de Internet:


Copyright © 2004 Sun Microsystems, Inc. Todos los derechos reservados.

Sun Microsystems, Inc. tiene derechos de propiedad intelectual relacionados con la tecnología incluida en el producto descrito en este documento. Especialmente, aunque sin limitarse a ellos, dichos derechos de propiedad intelectual pueden incluir una o varias de las patentes de EE.UU. que aparecen en http://www.sun.com/patents, así como otras patentes adicionales o solicitudes de patentes en EE.UU. y otros países.

PROPIEDAD/CONFIDENCIAL DE SUN

Derechos del gobierno de Estados Unidos: Software comercial. Los usuarios gubernamentales están sujetos al acuerdo de licencia estándar de Sun Microsystems, Inc. y a las disposiciones aplicables de la regulación FAR y sus suplementos.

El uso está sujeto a las condiciones de la licencia.

Esta distribución puede incluir materiales desarrollados por terceras partes.

Algunas de sus partes pueden proceder de sistemas Berkeley BSD, con licencia de la Universidad de California.

Sun, Sun Microsystems, el logotipo de Sun, Java y Solaris son marcas comerciales o marcas comerciales registradas de Sun Microsystems, Inc. en Estados Unidos y otros países. Todas las marcas comerciales de SPARC se utilizan bajo licencia y son marcas comerciales o marcas registradas de SPARC International, Inc. en EE.UU. y en otros países.