Notas de la versión de Sun Java System Identity Synchronization for Windows 1 2004Q3 |
Sun Java System Identity Synchronization for Windows Notas de la versión
Versión 1 2004Q3
Número de pieza 817-7851
Estas notas de la versión contienen información importante disponible en el momento del lanzamiento de Sun Java System Identity Synchronization for Windows 1 2004Q3. Aquí se tratan nuevas funciones y mejoras, problemas y limitaciones conocidos, notas técnicas e información de otro tipo. Lea este documento antes de empezar a utilizar Sun Java System Identity Synchronization for Windows 1 2004Q3 (Identity Synchronization for Windows).
En estas notas de la versión se incluyen los siguientes apartados:
Se incluyen las direcciones URL de terceras partes para proporcionar información adicional relacionada.
Historial de revisiones
Tabla 1 Historial de revisiones
Fecha
Descripción de los cambios
30 de septiembre de 2004
Versión inicial de las notas de la versión.
Acerca de Identity Synchronization for Windows 1 2004Q3Identity Synchronization for Windows proporciona una sincronización de contraseña bidireccional entre los siguientes directorios:
Cuando sincroniza Sun Java System Directory Server (Directory Server) y Windows 2000/2003 Active Directory, puede instalar y ejecutar todos los componentes de Identity Synchronization for Windows en los entornos con sistema operativo Solaris y Windows 2000 Server. Cuando se sincronizan Directory Server y Windows NT, debe ejecutar los componentes de Windows NT en el entorno de Windows NT.
Este apartado incluye:
Novedades de esta versión
Funciones nuevas
Las funciones nuevas de Identity Synchronization for Windows 1 2004Q3 incluyen:
- Eliminaciones de usuario: puede configurar y activar la sincronización de las eliminaciones de entradas de usuario de Sun Java System Directory Server a Active Directory, y de Active Directory a Sun Java System Directory Server.
- Migración tras error de Active Directory: compatibilidad para especificar servidores Active Directory adicionales para migración tras error durante la autenticación a petición. Identity Synchronization for Windows Directory Server utiliza esta función para autenticar usuarios en Active Directory cuando sus contraseñas se han cambiado en Active Directory. En la versión 1.0 esto no era posible; así, si el servidor Active Directory principal no estaba disponible, el complemento de autenticación de acceso a Active Directory desde Identity Synchronization for Windows Directory Server fallaba y no podía autenticar Directory Server. Esta situación sólo se producía si el usuario había cambiado su contraseña Active Directory y se estaba autenticando en Directory Server por primera vez desde el cambio de contraseña.
- Clase de objeto User para Active Directory: puede utilizar cualquier clase de objeto adecuada (User o una extensión) para la información del esquema de Active Directory. (En la versión 1.0, sólo se podía utilizar User.)
- Compatibilidad con Windows 2003 Server Active Directory: Puede instalar y configurar Identity Synchronization for Windows 1 2004Q3 y sincronizar contraseñas y atributos con Active Directory en una plataforma con Windows 2003 Server Standard o Enterprise Edition.
- Compatibilidad con clases de objetos adicionales para la sincronización de usuarios: puede definir mapas de atributos para atributos en clases de objeto adicionales y estructurales. Para Active Directory, el conjunto de clases adicionales está restringido a la selección de clase de objeto principal/estructural. En Directory Server, puede utilizar otras clases de objetos.
- Migración: le permite migrar de la versión 1.0 o 1.0 SP1 a la versión1 2004Q3.
- Compatibilidad con Solaris 9 x86 Platform: Identity Synchronization for Windows es compatible con la plataforma Solaris 9 x86.
- Funcionamiento de la línea de comandos linkusers y resync: La funcionalidad del comando linkusers se ha fusionado con el comando resync. Se han añadido tres opciones a las opciones de la línea de comandos resync. Los comandos son:
- -f <linkusers.cfg> -- el archivo de enlace (utilizado anteriormente en el comando linkusers)
- -k -- sólo usuarios de enlace
- -i NEW_LINKED_USERS -- restablece la contraseña de nuevos usuarios enlazados. Es igual que los comandos ALL_USERS y NEW_USERS salvo para los usuarios enlazados en el Directory Server.
Si desea obtener más información sobre esta nueva característica, consulte Identity Synchronization for Windows Installation and Configuration Guide.
Nota
Dado que se espera que Microsoft deje de comercializar Windows NT en diciembre de 2004, Identity Synchronization for Windows 1 2004Q3 solucionará los errores relacionados con Windows NT pero no admitirá nuevas funciones para dicha plataforma.
Consulte el servicio técnico de ciclo de vida de Windows en la siguiente ubicación para obtener información adicional: http://support.microsoft.com/default.aspx?scid=fh;[ln];LifeWin
Cambios de productos
Se han realizado los siguientes cambios en el producto para la versión 1 2004Q3:
- Instalación: Debido a que Sun Java Enterprise System 2 2004Q2 instala Sun Java System Message Queue Enterprise Edition y Sun Java System Directory Server (ambos necesarios para Identity Synchronization for Windows 1 2004Q3), debe instalar Sun Java Enterprise System en los sistemas Solaris antes de instalar Identity Synchronization for Windows 1 2004Q3.
Mejoras de rendimiento
El rendimiento de la sincronización se ha mejorado significativamente.
Cambios en la documentación
Cambio de marca de producto y documentación: Se ha cambiado la marca de la documentación y del producto Sun Java System Identity Synchronization for Windows de Sun ONE Identity Synchronization for Windows a Sun Java System Identity Synchronization for Windows.
Requisitos de hardware y software
Requisitos de sistema operativo
Las siguientes tablas describen los requisitos de sistema operativo para esta versión de Identity Synchronization for Windows:
Requisitos de hardware
El hardware (todas las plataformas) debe cumplir los siguientes requisitos mínimos para ejecutar Identity Synchronization for Windows:
Sun Java System Requisitos de software
Para ejecutar Identity Synchronization for Windows, debe instalar los siguientes componentes de software de Sun Java System:
Message Queue Enterprise Edition versión 3.5 SP 1 debe estar instalado antes de instalar Identity Synchronization for Windows. También se recomienda que instale Message Queue Enterprise Edition versión 3.5 SP 1 antes de instalar Sun Java System Directory Server 5 2004Q2.
Para instalar el núcleo de Identity Synchronization for Windows en una instalación de Sun Java System Message Queue existente, deberá estar utilizando Message Queue Enterprise Edition 3.5 SP1. Si se intenta instalar el núcleo de Identity Synchronization for Windows en una versión incorrecta de Message Queue, se producirán fallos de sincronización.
Para instalar Identity Synchronization for Windows 1 2004Q3 debe disponer de Directory Server 5 2004Q2 (5.2 parche 2)
Para obtener más información acerca de la instalación del paquete Solaris o de los parches que debe aplicar, consulte Important Information en Sun Java System Directory Server 5 2004Q2 Release Notes.
Para obtener más información acerca de la instalación del archivo comprimido (ZIP), de cómo aplicar los parches y acerca de los problemas conocidos de la actualización comprimida, consulte Installation Notes en Sun One Directory Server 5.2 Release Notes.
Para obtener una lista de los errores solucionados en Directory Server 5.2, parche 2 (todos los errores importantes solucionados) o para ver los archivos léame individuales de todos los parches aplicados, consulte:
Sun Java System Directory Server 5 2004Q2 Release Notes.Debe instalar un complemento de Directory Server (componente secundario) en cada maestro, réplica y concentrador de Directory Server de su instalación.
Para obtener la última información sobre los parches que puedan ser necesarias para instalar Directory Server 5 2004Q2 en Solaris, consulte Sun Java System Directory Server 5 2004Q2 Installation and Migration Guide y las Sun Java System notas de versión de Directory Server 5 2004Q2 , que se encuentran en el siguiente sitio Web:
Para corregir un problema con Directory Server Retrochangelog y la funcionalidad Delete en Identity Synchronization for Windows 1 2004Q2, deberá instalarse un parche en Sun Java(TM) System Directory Server 5 2004Q2. Los detalles del número de parche para sistemas específicos de su entorno son:
- Para formato de paquetes de Solaris para sistemas basados en Sparc: número de parche 117907-02 o superior
- Para instalaciones de archivos comprimidos de Solaris para sistemas basados en Sparc: parche 5077789
- Para formato de paquetes de Solaris para sistemas basados en X86: número de parche 117908-02 o superior
- Para instalaciones de archivos comprimidos de Solaris para sistemas basados en X86: parche 5077789
- Para instalaciones de archivos comprimidos de Windows: parche 5077789
Si desea obtener más detalles sobre estos parches y cómo actualizarlos al entorno de Directory Server, consulte el archivoREADME.patch ubicado en el directorio de descarga de Identity Synchronization for Windows:
<download_root>/patches/directory/README.patch
- Java Runtime Environment (Entorno de tiempo de ejecución Java)
No se proporciona un entorno de tiempo de ejecución Java (JRE) J2SE con este producto.
- Debe instalar JRE 1.4.2_04 (o posterior) para ejecutar el programa de instalación de Identity Synchronization for Windows en Solaris o Windows Active Directory. También puede instalar J2SE v 1.4.2_04 SDK que cuenta con mejoras de rendimiento con respecto a JRE.
- Debe instalar JRE 1.4.1_03 (o posterior) en Windows NT.
Errores solucionados en esta versiónLa tabla que figura a continuación describe los errores solucionados en Identity Synchronization for Windows 1 2004Q3:
Información importanteEste apartado contiene la última información que no se incluye en la documentación del producto. En este apartado, se describen los siguientes temas:
Notas de la instalación
Antes de instalar Identity Synchronization for Windows 1 2004Q3, asegúrese de leer el capítulo “Preparing for Installation” que aparece en Sun Java System Identity Synchronization for Windows 1 2004Q3 Installation and Configuration Guide.
Con Windows 2003 Server
- Ahora puede utilizar Windows 2003 Server Standard o Enterprise Edition como plataforma para instalar y configurar Identity Synchronization for Windows 1 2004Q3.
- En Windows 2003 Server, la política de contraseñas predeterminada promueve contraseñas estrictas, que no es la política de contraseñas predeterminada de Windows 2000.
Problemas con Windows 2003 Server
El comportamiento de Windows 2003 Server de “el usuario debe cambiar la contraseña en el próximo inicio de sesión” es distinto con respecto a Windows 2000. (4997513)
En Windows 2003, el indicador el usuario debe cambiar la contraseña en el próximo inicio de sesión está definido de forma predeterminada, lo que no ocurre en Windows 2000.
Cuando crea usuarios en Windows 2000/2003 con el indicador “el usuario debe cambiar la contraseña en el próximo inicio de sesión” definido, se crearán los usuarios en Directory Server sin contraseña. La siguiente vez que los usuarios inician sesión en Active Directory, deberán cambiar su contraseña, que invalidará las contraseñas anteriores en Directory Server y forzará la sincronización a petición la próxima vez que estos usuarios se identifiquen en Directory Server.
Los usuarios no podrán autenticarse en Directory Server hasta que cambien su contraseña en Active Directory.
Problemas de compatibilidad
Problemas de compatibilidad al utilizar ciertos productos de Remote Console para acceder a la consola de Identity Synchronization for Windows. (5077227)
Han podido surgir problemas al intentar ver la consola de Identity Synchronization for Windows utilizando PCAnywhere 10.x o Remote Administration 2.1. (No obstante, PCAnywhere versión 9.2 puede no provocar errores.) Si los problemas continúan, quite el software de administración remoto. Como alternativa, podría utilizarse VNC; no se conoce que provoque ningún problema al mostrar la consola de Identity Synchronization for Windows.
Recuperación de datos cuando el sistema o la aplicación fallan
En caso de fallo de hardware o de la aplicación podrá ser necesario restablecer los datos a partir de una copia de seguridad en alguno de los orígenes de directorio sincronizados.
No obstante, tras completar la recuperación de datos, es necesario llevar a cabo un procedimiento adicional para garantizar que la sincronización puede realizarse correctamente.
En general, los conectores mantienen información sobre el último cambio propagado a la cola de mensajes.
Estos datos, definidos como estado del conector, se emplean para determinar el cambio posterior que debe leer el conector desde su origen de directorio. Si la base de datos de un origen de directorio sincronizado se restablece a partir de una copia de seguridad, el estado del conector puede dejar de ser válido.
Los conectores basados en Windows (Active Directory o Windows NT) también mantienen una base de datos interna. Esta base de datos es una copia del origen de datos sincronizado y se utiliza para determinar qué ha cambiado en el origen de datos conectado. Es fácil observar que la base de datos interna dejará de ser válida una vez que el origen de Active Directory o el sistema Windows NT se restablezca a partir de una copia de seguridad.
En general, el comando idsync resync puede utilizarse para restablecer el origen de datos recuperado.
No obstante, la utilización de idsync resync puede que no sea una opción aceptable en todas las situaciones.
Precaución
Antes de ejecutar cualquiera de los pasos que se detallan a continuación, asegúrese de detener la sincronización.
Sincronización bidireccional
El procedimiento recomendado es utilizar el comando idsync resync con la configuración de modificador apropiada (de acuerdo con la configuración de sincronización). El objetivo de la operación resync debería ser el origen del directorio recuperado.
Sincronización unidireccional
Si el origen de datos recuperado es un destino de sincronización, puede seguirse el mismo procedimiento que con la sincronización bidireccional.
Si el origen de datos recuperados es un origen de sincronización, idsync resync puede usarse todavía para restablecer el origen de directorio recuperado. No hay necesidad de cambiar la combinación de flujo de sincronización en Identity Synchronization for Windows, idsync resync permite configurar el flujo de sincronización independientemente de los flujos configurados mediante la opción -o <Windows|Sun>.
Tenga en cuenta el siguiente escenario como ejemplo:
Se establece una sincronización bidireccional entre Sun Java(TM) System Directory Server y Active Directory.
- La base de datos de un servidor Microsoft Active Directory deberá recuperarse a partir de una copia de seguridad.
- En Identity Synchronization for Windows, este origen de Active Directory se configura para SUL “AD”
- La sincronización bidireccional para modificaciones, creaciones y eliminaciones se establece entre el origen de Active Directory y el origen Sun Directory Server.
- Detención de sincronización idsync stopsync -w - -q -
- Resincronizar origen de Active Directory y resincronizar modificaciones, creaciones y eliminaciones: idsync resync -c -x -o Sun -l AD -w - -q -
- Reiniciar sincronización idsync startsync -w - -q -
Procedimientos de recuperación específicos de origen de directorio
Microsoft Active Directory
Si Active Directory puede restablecerse a partir de una copia de seguridad, siga los procedimientos descritos en las secciones de sincronización bidireccional o unidireccional.
No obstante, puede que sea necesario utilizar un controlador de dominio diferente después de un fallo crítico. En este caso, siga estos pasos para actualizar la configuración del conector de Active Directory Connector:
- Inicie la consola de gestión de Identity Synchronization for Windows.
- Seleccione la ficha “Configuración”.
- Amplíe el nodo Directory Sources.
- Seleccione el origen de Active Directory adecuado.
- Haga clic en Edit Controller...
- Seleccione el nuevo controlador de dominio.
Se recomienda convertir al controlador de dominio seleccionado en el propietario de la función NT PDC FSMO del dominio
- Guarde la configuración.
- Detenga el servicio Identity Synchronization en el host donde opera el conector de Active Directory Connector.
- Elimine todos los archivos (pero no los directorios) en <raízservidor>/isw-<hostname>/persist/ADPxxx, donde xxx es la parte del número del identificador del conector de Active Directory Connector (por ejemplo, 100 si el identificador de Active Directory Connector es CNN100).
- Inicie el servicio Identity Synchronization en el host donde opera el Active Directory Connector.
- Siga los pasos según su flujo de sincronización en las secciones de sincronización unidireccional o bidireccional.
Sun Java(TM) System Directory Server
Tanto la base de datos de registros de cambios anteriores como la base de datos de usuarios sincronizados (o ambas) pueden sufrir un fallo crítico.
- Base de datos del registro de cambios anteriores.
Puede haber cambios en la base de datos del registro de cambios anteriores que el conector de Directory Server no pueda procesar. Restablecer la base de datos del registro de cambios anteriores sólo tiene sentido si la copia de seguridad contiende cambios sin procesar. Esto puede llevarse a cabo comparando la entrada más reciente en el archivo <raízservidor>/isw-<hostname>/ADPxxx/accessor.state con el último changenumber en la copia de seguridad. Si el valor accessor.state es mayor o igual que changenumber en la copia de seguridad, no es necesario restablecer la base de datos, pero deberá crearse de nuevo.
Después de volver a crear la base de datos de registro de cambios anteriores, asegúrese de que puede ejecutar idsync prepds o haga clic en Prepare Directory Server desde la ventana Sun Directory Source en la consola de gestión de Identity Synchronization for Windows.
El conector de Directory Server detectará que la base de datos de registro de cambios anteriores se vuelve a crear y registrará un mensaje de aviso. Puede omitir estos mensajes con seguridad.
- Base de datos sincronizada.
Si no hay copia de seguridad disponible para la base de datos sincronizada, entonces el conector Directory Server deberá instalarse de nuevo.
Si la base de datos sincronizada puede restablecerse a partir de una copia de seguridad, siga los procedimientos descritos en las secciones de sincronización bidireccional o unidireccional.
Actualizaciones de la documentación de Identity Synchronization for Windows 1 2004Q3
Puede acceder a los archivos de la documentación en línea de Identity Synchronization for Windows mediante un explorador. Además, puede descargar todo el conjunto de documentación en formato HTML.
Una vez descargado el archivo, extráigalo a la siguiente ubicación:
<RaízServidor>/manual/en/isw
RaízServidor es la ubicación de Sun Java System Administration Server. La ruta real de RaízServidor depende de la plataforma, la instalación y la configuración. El directorio de RaízServidor contiene el programa startconsole.
Puede acceder directamente a la documentación desde<RaízServidor>/manual/en/isw/index.html
o desde Server Console, seleccionando Documentation Home en el menú Help.Ejecución de Identity Synchronization for Windows en un entorno con cortafuegos
Puede ejecutar Identity Synchronization for Windows en un entorno con cortafuegos. Esta sección describe los puertos del servidor que debe exponer mediante el cortafuegos de la siguiente manera:
Requisitos de Message Queue
De forma predeterminada, Message Queue usa puertos dinámicos para todos los servicios excepto para su asignador de puertos. Para acceder al agente de Message Queue mediante un cortafuegos, el agente debe utilizar puertos fijos para todos los servicios.
Tras instalar el núcleo, debe definir las propiedades de configuración del agente imq.<service_name>.<protocol_type>.port. Específicamente, debe definir la opción imq.ssljms.tls.port. Consulte Sun Java System Message Queue Administrator’s Guide para obtener más información.
Requisitos del programa de instalación
El programa de instalación de Identity Synchronization for Windows debe poder comunicarse con Directory Server actuando como el directorio de configuración.
- Si está instalando un conector de Active Directory, el programa de instalación debe ser capaz de ponerse en contacto con el puerto LDAP de Active Directory (puerto 389).
- Si está instalando un conector de Directory Server o un componente de Directory Server (componente secundario), el programa de instalación debe ser capaz de ponerse en contacto con el puerto LDAP de Directory Server (puerto 389 predeterminado).
Requisitos de los núcleos
La interfaz de Message Queue, el administrador del sistema y de línea de comandos deben ser capaces de acceder a Directory Server donde la configuración de Identity Synchronization for Windows está guardada.
Requisitos de la consola
La consola de Identity Synchronization for Windows debe ser capaz de llegar a:
Requisitos del conector
Todos los conectores deben ser capaces de comunicarse con Message Queue. Además:
- El conector de Active Directory debe ser capaz de acceder a Active Directory Domain Controller mediante LDAP (puerto 389) o LDAPS (puerto 636).
- El conector de Directory Server debe ser capaz de acceder a Directory Server(s) mediante LDAP (puerto 389 de forma predeterminada) o LDAPS (puerto 636 de forma predeterminada).
Requisitos de complementos de Directory Server
Cada complemento de Directory Server debe ser capaz de alcanzar el puerto del servidor del conector de Directory Server, que se seleccionó cuando se instaló el conector. Los complementos que se ejecutan en réplicas de Directory Server Master deben ser capaces de conectarse a LDAP (puerto 389) o LDAPS (puerto 636) de Active Directory. Los complementos que se ejecutan en otras réplicas de Directory Server deben poder llegar a los puertos LDAP o LDAPS de Directory Server del maestro.
Limitaciones y problemas conocidosEsta sección contiene una lista de los problemas conocidos de Identity Synchronization for Windows 1 2004Q3 Se describen las siguientes áreas del producto:
Instalación y desinstalación
Instrucciones para limpiar manualmente el registro de producto. (5050004)
Si necesita eliminar referencias a Identity Synchronization for Windows del registro de producto, utilice los procedimientos descritos para las plataformas Windows NT y Windows 2000 en el capítulo 7, sección “What to Do if the 1.0 Uninstallation Fails” de Identity Synchronization for Windows Installation and Configuration Guide.
Las secuencias de comandos de Solaris no funcionarán si instala el núcleo en un directorio con espacios en su nombre. (4801643)
Las secuencias de líneas de comandos en Solaris no funcionarán si se instala el núcleo de Identity Synchronization for Windows en un directorio con un espacio en su nombre de ruta de acceso.
El agente de Message Queue no se puede iniciar si Base DN contiene espacios. (4892332 y 4892490)
No instale el núcleo en un sufijo que contiene espacios o el agente de Message Queue no podrá realizar la autenticación.
Efectos secundarios de la instalación de un núcleo con una instancia de Message Queue existente. (4882194)
La instalación del núcleo con una instancia de agente de Message Queue existente puede afectar a la instancia existente.
Por ejemplo, una configuración existente se modificó de la siguiente manera:El agente de Message Queue requiere 512 MB de memoria como mínimo. (4819519)
El agente de Message Queue requiere 512 MB de memoria como mínimo. Debido a que el agente se instala como parte del núcleo, el equipo donde se instala el núcleo debe tener al menos 1 GB de RAM.
Desinstalación de complementos desde una instalación de instancia de varios Directory Server elimina el programa de desinstalación. (4916035)
No puede desinstalar varios complementos si dos instancias de Directory Server tienen la misma raíz de instalación del sistema de archivos (por ejemplo, /usr/sunone/servers/slapd-foxhead y /usr/sunone/servers/slapd-foxhead2).
Solución del problema:
1. Abra la consola de Directory Server (del Directory Server donde se ha instalado el complemento).
2. Haga clic en la ficha Configuration.
3. Haga doble clic en la carpeta Plugins para expandir el árbol de complementos.
4. Haga clic en pswsync y desactive la casilla de verificación Enable plug-in.
5. Reinicie Directory Server.
Comportamiento indeterminado del conector de Active Directory si se cancela la instalación antes de finalizar y cuando se intenta la reinstalación. (5038905)
Si el programa de instalación se cancela mientras se está configurando el conector y cuando el programa de instalación se ejecuta de nuevo, la opción del conector no está disponible para la instalación.
Solución del problema
Ejecute idsync resetconn en el indicador de la línea de comandos para restablecer la configuración del conector y luego vuelva a ejecutar el programa de instalación para volver a instalar el conector. Para obtener más información sobre la ejecución del comando idsync resetconn, consulte Sun Java System Identity Synchronization for Windows Installation and Configuration Guide.Las claves de registro que pertenecen al producto no se eliminan cuando se desinstala el producto. (5045237)
Tras realizar una desinstalación del núcleo, los nodos relacionados de Sun Java System Identity Synchronization for Windows en el archivo de registro de producto no se eliminan. Para volver a instalar con éxito el producto, debe eliminar manualmente los nodos de las claves de registro del producto. Si desea obtener más información sobre la eliminación de estas claves de registro de producto, consulte Identity Synchronization for Windows Installation and Configuration Guide. Esta situación sólo ocurre en Solaris 8.
Las referencias relacionadas con Identity Synchronization for Windows se muestran en la Consola cuando se desinstala el núcleo sin conectarse al registro de configuración. (5049700)
Se muestra un mensaje de error cuando se inicia la consola tras realizar una desinstalación ciega (sin conectarse al registro de configuración) de Identity Synchronization for Windows.
El directorio “temp”, donde se guardan los registros de instalación, puede ser un directorio oculto. (5051905)
En la carpeta C:\ Documents and Settings > Administrador > Configuración local puede ser una carpeta oculta en determinados sistemas Windows.
Solución del problema
Para ver la carpeta Configuración local y la carpeta secundaria Temp, debe estar seleccionada la opción Mostrar archivos ocultos del explorador de Windows. Como método alternativo, escriba cd %TEMP o cd %TMP en el símbolo de comandos para ver los archivos de registro relacionados con la instalación en el directorio. Los registros se pueden ver con Notepad.La autenticación al agente de Message Queue falla si el sufijo de raíz contiene espacios. (4892903)
La configuración de Identity Synchronization for Windows debe guardarse en sufijos raíz que no tengan espacios debido a una limitación de Message Queue.
Solución del problema
Cree un nuevo sufijo raíz para guardar la configuración de Identity Synchronization for Windows antes de instalar el núcleo.Tras una instalación fallida del complemento de Directory Server, la lista de tareas pendientes muestra que se ha terminado la instalación del complemento. (5081912)
En algunas situaciones, la lista de tareas pendientes puede mostrar que el complemento de Directory Server se ha instalado, aunque en realidad la instalación del complemento haya fallado.
Durante la desinstalación de un conector, el programa de desinstalación no muestra correctamente el espacio en el disco que recuperará. (5081823)
El programa de desinstalación muestra incorrectamente 0 bytes (como el número de bytes que recuperará después de la desinstalación), cuando desinstala un conector. Cuando se observan las propiedades del espacio en el disco, el tamaño real de espacio en el disco recuperado no será cero.
El programa de instalación no le obliga a instalar componentes en el mismo directorio donde se ubica el directorio de instalación del complemento de Directory Server. (5080178)
Si el complemento de Directory Server es el primer componente instalado en el equipo, todas las instalaciones de componentes posteriores que se realicen en ese equipo en particular deberán efectuarse en el mismo directorio de instalación (el del complemento de Directory Server). Sin embargo, el programa de instalación no impone estos criterios durante la instalación.
El programa de desinstalación puede mostrar información incorrecta al desinstalar los componentes. (5079489)
Cuando se desinstala un conector de un equipo donde el componente núcleo no está instalado, el instalador notificará incorrectamente que se está desinstalando el componente núcleo. Este mensaje de error puede ignorarse. Las referencias de la consola de Identity Synchronization for Windows no se eliminan si se está llevando a cabo un procedimiento de desinstalación cuando no existe directorio de configuración. (5077156)
Cuando se selecciona la opción de desinstalar el producto sin el directorio de configuración, Sun Server Console retiene todas la referencias a la consola de Identity Synchronization for Windows. Después de desinstalar el producto, el icono de Identity Synchronization for Windows seguirá existiendo en el árbol de topología. Al intentar mostrar la consola, ocurre un error. Si desea obtener más información sobre la eliminación de referencias de consola, consulte el capítulo 8, en la sección “Uninstalling the Console Manually” de Identity Synchronization for Windows Installation and Configuration Guide.
La desinstalación no elimina el directorio “server-root/isw-*/lib” y los archivos jar. (5038284)
La operación de desinstalación no elimina el directorio lib que contiene los archivos *.jar. El directorio y los archivos deberán eliminarse manualmente.
Comportamiento imprevisto del conector de Active Directory si se cancelan las operaciones de instalación y se intenta instalar de nuevo. (5038905)
Si está instalando el conector de Active Directory y el proceso de instalación se cancela de forma brusca y se intenta realizar de nuevo la instalación, el conector de Active Directory muestra que el componente está instalado, aunque no lo esté en realidad. Este estado no cambia y la operación de sincronización no se produce. Tampoco es posible volver a instalar el conector de Active Directory cuando se intenta hacerlo.
Solución del problema
Debe ejecutar el comando idsync resetconn para volver a instalar el conector. Para obtener más información sobre la ejecución del comando idsync resetconn, consulte Identity Synchronization for Windows Installation and Configuration Guide.La instalación de Identity Synchronization for Window falla si Directory Server 5.2p3 está instalado con Sun Java Enterprise System 3. (5092530)
No es posible instalar el producto Identity Synchronization for Windows en Directory Server 5.2 P3 o superior. Identity Synchronization for Windows 1 2004Q3 sólo es compatible con Sun Java Enterprise System 3 (Directory Server 5.2 P3) como origen de sincronización de datos.
La lista de instalación solicita que se instale el complemento de Directory Server en el maestro secundario incluso después de haberlo instalado. (5096593)
La lista de tareas pendientes suele ser correcta casi siempre, pero puede que a veces omita pasos requeridos o que no reconozca que se han realizado ciertos pasos. Por ejemplo, es posible que no refleje correctamente qué complementos de Directory Server se han instalado o cuáles deben instalarse.
La instalación de Identity Synchronization for Windows en sistemas FAT32 no dispone de listas de control de acceso (ACL). (5097751)
Después de instalar Identity Synchronization for Windows en una unidad cuyo formato sea FAT32, al intentar buscar los archivos y las carpetas mediante las ACL, se observa que las ACL no existen. Se recomienda evitar la instalación en particiones que no sean NTFS.
Al intentar desinstalar sólo el complemento, el proceso puede fallar si se usa la versión comprimida de Directory Server. (5101589)
Cuando se intenta desinstalar sólo el complemento, el procedimiento falla si se usa el paquete de archivos comprimidos de Directory Server.
La operación de instalación falla si se usa un nombre de administrador de varios bytes cuando se le solicita dicho nombre. (5109332)
Si especifica un nombre de administrador LDAP de varios bytes cuando se le solicita durante la instalación del núcleo, la operación falla. Se muestra un mensaje de error que indica que el programa de instalación no puede cargar el archivo de esquema /var/opt/isw/SUNWisw/misc/40so-psw.out.ldif y que es necesario consultar el archivo de registro del programa de instalación para obtener más detalles. El proceso de instalación se interrumpe y la ventana del cuadro de diálogo se cierra de forma brusca.
Solución del problema
Use el nombre de administración LDAP predeterminado, que es “admin”, para la operación de instalación con objeto de evitar este problema. Si una instalación previa ha fallado, reinicie el programa de instalación y vuelva a instalar el núcleo usando el nombre predeterminado. Se mostrará un mensaje que indica que se han hallado archivos del núcleo en el equipo. Puede hacer caso omiso de este mensaje sin problema. Ahora puede continuar con la operación de instalación.Conectores y complementos
La eliminación de una entrada existente inicia la sincronización de NT Connector. (4864009)
Las instalaciones con usuarios de Windows existentes (Active Directory o NT) deben ejecutar un comando idsync resync antes de iniciar la sincronización, para evitar los comportamientos no definidos (como que usuarios de Windows existentes se sincronicen con Directory Server en cualquier momento).
Reinicie los conectores si están inactivos. (4938309)
Si el registro de errores central envía un mensaje parecido a No response from connector [CNN100] for 10 minutes, deberá detener y reiniciar el daemon/servicio de Identity Synchronization for Windows donde se está ejecutando el conector.
Solución del problema
Reinicie Directory Server tras permitir Capa de Conexión Segura (SSL) para el complemento de Directory Server. (4944804)
Debe reiniciar Directory Server tras activar Capa de Conexión Segura (SSL) para el complemento de Directory Server (componente secundario) y agregar el certificado Active Directory CA a la base de datos de certificados de Directory Server o la sincronización a petición puede fallar al intentar autenticar un usuario al que se ha cambiado la contraseña en Active Directory (vea los mensajes de registro de ejemplo).
Si se agota el tiempo de espera de las búsquedas de Active Directory, el administrador debe aumentar el límite de búsqueda. (4881182)
Si el registro de error de Active Directory notifica un error de límite de tiempo superado para un conector, use ntdsutil del kit de recursos de Windows 2000 para aumentar el tiempo de espera máximo de búsqueda de la siguiente manera:
C:€dif>ntdsutil
ntdsutil: ldap policies
ldap policy: connections
server connections: set creds example.sun.com administrator password
server connections: connect to server matar
Binding to matar as user(administrator) in domain(example.sun.com) ...
Connected to matar as user(administrator) in domain(example.sun.com) ...server connections: quit
ldap policy: show values
ldap policy: Set InitRecvTimeout to 2400
ldap policy: Commit Changes
Sun Java System Directory Server no procesará los atributos binarios creados sin el subtipo ;binary. (5029226)
Determinados atributos como userCertificate requieren la opción ;binary en la instancia de creación. Identity Synchronization for Windows puede sincronizar los valores de dichos atributos, pero no define la opción ;binary en el momento de creación. Esto puede provocar problemas para los clientes que se están comunicando con Sun Java System Directory Server. Sun Java System Directory Server no devuelve dicho atributo si se ha creado sin la opción binary y el cliente solicita el atributo con esta opción.
Identity Synchronization for Windows no valida el número de caracteres utilizados cuando crea el atributo user_name. (5021886)
NT SAM tiene un límite de 20 caracteres para el atributo “user_name”, sin embargo, Sun Java Directory Server no tiene ninguna restricción en el número de caracteres utilizados para crear el nombre de usuario. La entrada asignada al atributo “user_name” en NT SAM no se puede utilizar aunque se transmita con éxito de NT SAM a Sun Java Directory Server. Un mensaje de error se muestra cuando se editan las propiedades de la entrada o se visualizan en NT SAM.
Consola y línea de comandos
Ejecute idsync prepds si los archivos de la base de datos de registros de cambios anteriores se vuelven a crear, están dañados o faltan. (4921114 y 4832355)
Si la base de datos de registros de cambios anteriores (RCL) se elimina o está dañada, Directory Server o el conector de Directory Server enviará mensajes de advertencia. Cuando vea estos mensajes, deberá volver a crear el registro de cambios anteriores y volver a ejecutar el comando idsync prepds antes de que la sincronización continúe.
Las opciones del botón Browse para Base DN no cambian tras seleccionar un nuevo contexto de nombres. (4944711)
Si configura Identity Synchronization for Windows en la consola para utilizar más de un origen de Directory Server y más de dos orígenes de Active Directory (AD), cuando configura una lista de usuarios sincronizada (SUL), las opciones del botón Browse que se presentan para la base DN puede que no reflejen de forma precisa los orígenes de Directory Server o Active Directory.
Solución del problema
Escriba manualmente el nombre de Base DN en el campo Base DN.El host del esquema de la consola debería apuntar al directorio de configuración. (4877996)
Cuando especifica un host de esquema, se recomienda que utilice únicamente el directorio de configuración principal. No utilice un Directory Server independiente o cualquier otro directorio de configuración remoto.
La ventana Console Status no proporciona la accesibilidad 508 para visualizar los archivos de registro. (4874361)
El visualizador de archivos de registros de la ventana Console Status no permite que una interfaz sin ratón vea los archivos de registro.
Solución del problema
Para ver los archivos de registro, copie los archivos a un editor de texto preferido (fuera del visualizador de registros de la consola).El estado de la consola de Message Queue no indica correctamente el estado actual de los componentes del sistema. (4937312)
Si la conexión de red se interrumpe entre la consola y MessageBroker, la consola notificará un estado incorrecto de los componentes del sistema.
Solución del problema
Si se producen errores de red, reinicie la consola. También puede ejecutar el comando idsync printstat para recibir una vista más precisa del estado de la cola del mensaje.Se muestra un mensaje para preparar Directory Server aunque Directory Server ya se ha preparado cuando agregar un origen de datos nueva a Directory Server. (5029558)
Siempre que crea un nuevo origen de Sun Java System Directory Server, se le solicitará que prepare el origen de Directory Server. Si ya ha preparado el origen de directorio, puede hacer clic tranquilamente en la opción “No”.
Se muestra el mensaje “Resetting...” cuando se ejecuta el comando CLI resetconn. Se produce un error al restablecer la contraseña y toda la información acerca del origen de Directory Server, configuración, etc. se elimina. (5039655)
La consola no debe ejecutarse cuando se ejecuta la función de línea de comandos resetconn. Si no sale de la consola antes de ejecutar el comando, aparecerá el mensaje “Resetting...”. Ahora debe salir de la consola y reiniciarla.
El comando “startsync” no se ejecuta. Se muestra el mensaje de error “Failed to start synchronization for some of the requested directory sources...”. (5050443)
En determinadas condiciones (por ejemplo, en caso de memoria insuficiente), es posible que la línea de comandos o la consola de gestión notifique que “Start synchronization” se ha realizado con éxito incluso sin los componentes no han podido iniciar la sincronización. Si tiene problemas de sincronización, compruebe si hay mensajes relacionados con la memoria en el registro de errores.
El atributo parametrizado falla en caso de existir varios valores para atributos de valor único. (5069907)
La sincronización falla cuando se especifican valores múltiples en vez de un valor individual para atributos de valor único. Se mostrará un mensaje de error o aviso cuando se estén guardando los valores en Directory Server.
Cuando se ejecuta el comando idsync, se muestran las contraseñas como texto no cifrado en la pantalla. (4900126)
Cuando el comando idsync pide las contraseñas de enlace y configuración, al introducir las contraseñas, se muestran como texto no cifrado y sin encriptar.
Solución del problema
Para evitar que se muestren contraseñas en la pantalla, guarde cada contraseña en un archivo protegido y, a continuación, redirecciónelo a la línea de comandos. Si se proporciona la opción “-” para todos los argumentos de contraseña, el comando idsync pedirá los valores de la contraseña en el orden en el que aparecen las opciones en la línea de comandos. Por ejemplo, si la contraseña del administrador es adminPw y la contraseña de configuración es configPw, cree un archivo (passwords.txt) cuyo contenido sea:
adminPw
configPw
Y a continuación ejecute idsync printstat -w - -q - < passwords.txt para ejecutar el comando.Error al cargar los archivos de registro. (5091787)
En algunos casos, al cargar el archivo audit.log en la consola, en la ficha de estado, se muestra un mensaje de error que indica que no se pueden recuperar las entradas del registro debido a un error desconocido y que es necesario reiniciar el servidor de administración.
Solución del problema
El archivo audit.log se cargará cuando se acceda a él, en los intentos siguientes que se efectúen para cargar el archivo.Prepds muestra un mensaje de error en la configuración o la migración de una configuración de réplica de varios maestros (MMR). (5093124)
Durante la migración de un entorno replicado, es posible que idsync prepds indique que la replicación del esquema ha fallado, aunque en realidad no haya sido así. Por ejemplo, el mensaje de error puede indicar que la instancia preferida de Sun Java System Directory Server, ubicada en ldap://preferred.example.com:389, ha fallado al replicar los cambios de esquema a la instancia secundaria de Sun Java(TM) System Directory Server, ubicada en ldap://secondary.example.com:389. También se le indicará que compruebe los ajustes de replicación. Si se da este caso, ejecute idsync prepds de nuevo con los mismos argumentos. Deberá comprobar los ajustes de replicación sólo si en esta segunda ejecución de idsync prepds se obtiene el mismo mensaje de error.
Es posible que no se pueda usar Reflection X 10.0 para acceder a la consola. (5095013)
Puede que algunos cuadros de diálogo no se puedan usar porque los botones o los cuadros de texto no se puedan ver o porque no se pueda cambiar el tamaño de los cuadros de diálogo.
Los mensajes de registro de la consola presentan caracteres dañados de varios bytes. (6174184)
Los caracteres de varios bytes se incluyen en el registro sólo cuando se usa un nombre de lista de usuarios de sincronización de varios bytes o cuando se está sincronizando un sufijo de varios bytes. Para ver los mensajes correctamente, abra el archivo de registro (/var/opt/SUNWisw/logs/central/error.log) en un visualizador que admita documentos codificados mediante UTF-8.
Los comandos startsync y stopsync no funcionan normalmente cuando se cambia la contraseña de configuración. Se muestra un mensaje de error. (6175396)
Si se cambia la contraseña de configuración de Identity Synchronization for Windows usando el comando idsync changepw y no se reinicia el equipo, los comandos idsync startsync y stopsync no funcionarán correctamente. Dichos comandos mostrarán un mensaje de error que indica que el mensaje recibido no estaba cifrado y devolverá un código de salida 1.
A pesar de que se muestre este mensaje de error, la operación de inicio o detención de la sincronización se produce realmente. Para asegurarse de ello, ejecute el comando idsync printstat. Para evitar que se produzca este problema, reinicie el equipo cada vez que cambie la contraseña de configuración.
Sincronización de contraseña
Problemas con la política de contraseñas. (4834865 y 4811572)
Es posible que las políticas de contraseñas utilizadas en distintos directorios provoquen errores de sincronización. Algunos ejemplos incluyen la longitud de la contraseña y el número de caracteres máximo y mínimo requeridos. Los administradores deben cambiar manualmente la política de contraseñas incompatible para que coincida con la de otros sistemas.
Los atributos correspondientes o contraseñas que se hayan modificado simultáneamente no se sincronizan bien. (4854183 y 4808601)
Si se está sincronizando una entrada entre dos orígenes de directorio y se realizan modificaciones simultáneas en un atributo, es posible que el atributo no se sincronice adecuadamente. Por ejemplo, considere esta secuencia de eventos.
- John Smith cambia su número de teléfono 555-1111 en Active Directory (AD).
- Este cambio se aplica a Directory Server; pero antes de que se produzca el cambio, un administrador define erróneamente el número de teléfono de John Smith como 555-1112 en Directory Server.
- A continuación, el cambio realizado en Active Directory se aplica a Directory Server y el teléfono de John Smith se define como 555-1111.
- Igualmente, el cambio realizado en Directory Server se aplica a AD y el teléfono de John Smith se define como 555-1112.
Igualmente, si se modifica una contraseña de usuario en Active Directory (AD) y Directory Server aproximadamente al mismo tiempo, es probable que la contraseña no se sincronice adecuadamente en determinadas situaciones.
En sistemas con poca carga, las modificaciones de contraseña deberían producirse con pocos segundos de diferencia entre unas y otras para desincronizarse. Aunque esta situación puede producirse incluso si la contraseña de AD se ha modificado después de que se haya definido en el valor de Directory Server, es poco probable ya que la contraseña de AD debería modificarse tras unos pocos milisegundos de haberse definido en el valor de Directory Server.
Trabajo con la función “user must change password at next login” de Active Directory. (4827180)
Si un administrador cambia una contraseña de usuario en Active Directory (AD) y especifica “user must change password at next logon”, el cambio de contraseña no se sincronizará en Directory Server hasta que el usuario inicie sesión y cambie su contraseña.
La autenticación de usuario fallará en estas circunstancias:
- El usuario cambia su contraseña en AD. (La contraseña se aplica a Directory Server y la contraseña de Directory Server se invalida).
- El administrador restablece la contraseña del usuario y define el indicador “user must change password at next logon”.
- Si el usuario intenta acceder a Directory Server utilizando la contraseña de #1 o #2, el intento de inicio de sesión fallará. Si se cambia la contraseña en AD o Directory Server, se actualizará el valor de la contraseña de Directory Server.
Si se especifica una contraseña que no utilice caracteres ASCII en NT o Active Directory con el complemento de comprobación de 7 bits activado, la contraseña no se sincronizará con Directory Server. (4817344)
En Directory Server, el complemento de comprobación de 7 bits (componente secundario) está activado de forma predeterminada para los valores del atributo userpassword. Consulte: http://docs.sun.com/source/816-6699-10/plugattr.html
Si sincroniza contraseñas que no se hayan procesado en 7 bits desde Windows a Directory Server y a continuación activa y configura este complemento para los valores de atributos userpasssword, la sincronización tendrá un error.
Debe tener cuidado al sincronizar contraseñas con caracteres que no sean ASCII porque la codificación de caracteres del valor de la contraseña no se mantiene. Por tanto, los clientes de Windows y los clientes de Directory Server deben utilizar la misma codificación de caracteres cuando cambian contraseñas (y en casos de autenticación) o la operación presentará un fallo.
No se admiten varios valores de contraseña. (4807350)
No se admiten varios valores de contraseña de usuario.
Resync no reanuda automáticamente el proceso resync cuando se reinicia el gestor del sistema. (5077660)
Cuando se ejecuta el comando resync y se reinicia el gestor de sistema, resync no se recupera automáticamente y no reinicia el proceso.
Cuando se lleva a cabo una resincronización, los atributos de creación pueden eliminarse. (5085134)
Las actualizaciones simultáneas a un atributo no se sincronizan. (5077760)
Este problema ocurre si se agrega un valor a un atributo al mismo tiempo aproximadamente que un valor diferente también se añade al atributo en la entrada de directorio remoto correspondiente. Puede que el atributo no se sincronice.
Cuando se lleva a cabo una resincronización, el conector de Directory Server no recibe las acciones de enlace ni siquiera si se anula la operación de resincronización. (4985505)
Cuando se ejecuta resync -c -o Sun, las acciones LINK se envían al Directory Server después de que se hayan creado nuevos usuarios en Active Directory. Estas acciones LINK no son recibidas por el conector Directory Server aunque la operación resync se haya anulado. Actualmente, estas acciones LINK se publican en el mismo tema temporal MQ en el que se publican todas las acciones resync/linkusers.
Las entradas eliminadas puede que no se sincronicen desde el Directory Server a Active Directory debido a problemas conocidos en el complemento de Directory Server Retro-Change Log. (5077814)
El complemento de Directory Server Retro-ChangeLog puede fallar al almacenar dspswuserlink en la entrada del complemento de una entrada eliminada. Si ocurre esto, la sincronización para la entrada eliminada de la entrada de Directory Server al Active Directory no tiene lugar.
Solución del problema
Para resolver este problema, asegúrese de que ha actualizado Directory Server con el parche que resuelve este problema. Si desea más información sobre los parches necesarios para resolver este problema, consulte la sección Parche de Sun Java(TM) System Directory Server 5 2004Q2 Retrochangelog.Sun Java System Message Queue
El administrador del sistema no puede conectarse a Message Queue. (4907711)
El administrador del sistema no puede conectarse a Message Queue que está funcionando.
Solución del problema
Reinicie el servicio/daemon de Identity Synchronization for Windows donde está instalado el núcleo.Aumente la memoria máxima del agente de Message Queue para la instalación de más de 100.000 usuarios. (4924939)
Identity Synchronization for Windows configura el agente de Message Queue para que, de forma predeterminada, utilice un máximo de 512 MB de memoria, que es suficiente para la mayoría de las instalaciones. Sin embargo, para instalaciones superiores a 100.000 usuarios, debe aumentar la memoria a 1 GB para asegurar un rendimiento óptimo. Para instalaciones de más de 200.000 usuarios, aumente la memoria a 2 GB.
Si el componente principal de Identity Synchronization for Windows está instalado en Solaris, siga estos pasos para aumentar el límite de memoria del agente de Message Queue:
- Utilice el siguiente comando para detener el agente de Message Queue:
/etc/init.d/imq stop
- Edite el archivo /etc/imq/imqbrokerd.conf para cambiar la configuración de memoria predeterminada actual de -Xmx512m a -Xmx1024m para 1 GB de memoria o -Xmx2048m para 2 GB de memoria.
- Utilice el siguiente comando para iniciar el agente de Message Queue:
/etc/init.d/imq start
Si el núcleo de Identity Synchronization for Windows se instala en Windows 2000, siga estos pasos para aumentar el límite de memoria del agente de Message Queue:
- Utilice la consola Windows Services Management y detenga el servicio del agente de Message Queue.
- En el directorio <raíz-instalación>/isw-<nombre-equipo>/imq/bin, utilice el comando imqsvcadmin query en la línea de comandos. El resultado debería ser parecido al siguiente:
Service iMQ Broker is installed.
Display name: iMQ Broker
Start Type: Automatic
Binary location: C:\sunone\servers\isw-example\imqin\imqbrokersvc
JREHome: c:/j2sdk1.4.2/jre/
VM Args: -Xmx512m
Broker Args: -passfile "C:/sunone/servers/isw-example/imq/etc/passfile.properties"
-DimqConnectionType=TLS -port 7676 -name psw-broker
- Guarde la salida de este comando en un archivo.
- Desinstale el servicio de agente de Message Queue enviando el comando imqsvcadmin remove.
- Antes de continuar, debe reiniciar el equipo Windows 2000 donde se ha instalado el núcleo.
- En el directorio <raíz-instalación>/isw-<nombre-equipo>/imq/bin, envíe el comando siguiente utilizando la salida guardada del comando imqsvcadmin query enviado anteriormente. Por ejemplo:
imqsvcadmin install -jrehome c:/j2sdk1.4.2/jre/ -vmargs -Xmx1024m -args "-passfile C:/sunone/servers/isw-example/imq/etc/passfile.properties -DimqConnectionType=TLS -port 7676 -name psw-broker"
En el que:
- El argumento -args se rellena desde el campo Broker Args.
- El argumento -jrehome se rellena con el campo JREHome.
- Para aumentar la memoria a 1 GB, use -vmargs -Xmx1024m.
- Sólo para Java VM de 64 bits: Para aumentar la memoria a 2 GB, use-vmargs -Xmx2048m
El valor de memoria más alto para Java VM de 32 bits es -Xmx1750m- Utilice la consola Windows Services Management para iniciar el servicio del agente de Message Queue.
Inicio y parada del agente de Message Queue. (4809493)
En Windows, el agente de Message Queue se ejecuta como servicio y los administradores pueden controlar el servicio del agente de Message Queue mediante el panel de control del servicio.
Para iniciar y detener el agente, debe reiniciar el equipo tras instalar el núcleo porque el proceso del administrador del servicio no puede ver la variable de entorno IMQ_JAVAHOME necesaria hasta que se reinicie Windows. Esta situación sólo se produce si se ha instalado Message Queue con el núcleo (es decir, no se ha utilizado un Message Queue anterior).
Utilice los siguientes comandos:
/etc/init.d/imq (parada o inicio)
No admite la utilización de Message Queue en un equipo en el que no esté instalado el núcleo. (4943576)
Los núcleos de Identity Synchronization for Windows y Message Queue deben estar instalados en el mismo host.
Problemas generales
Todavía puede haber errores cuando la sincronización se inicia con éxito. (4814324)
Incluso si idsync startsync indica que se ha realizado con éxito, debe comprobar el registro de errores central para verificar que los conectores han podido conectarse a sus orígenes de directorio.
Se recomienda colocar el directorio de configuración y el origen del directorio en instancias de Directory Server separadas para configurar MMR. (4943470 y 4943480)
En una configuración de réplica de varios maestros (MMR), Sun recomienda que se coloque el directorio de configuración y el origen del directorio en instancias de Directory Server separadas y que configure los acuerdos de réplica antes de instalar Identity Synchronization for Windows.
Si designa la misma instancia de Directory Server como el directorio de configuración y Directory Server preferido (datos de usuario) y crea acuerdos de réplica tras instalar Identity Synchronization for Windows, los elementos de esquema creados por la instalación principal de Identity Synchronization for Windows se eliminarán. Si esto sucede, Identity Synchronization for Windows no se ejecutará.
Solución del problema
Para actualizar el esquema si se borra accidentalmente:
- Copie el archivo 40so-psw.ldif (que contiene los objetos de esquema del registro de configuración sólo para el paquete de instalación) al directorio de esquema de la instancia de Directory Server.
- Cambie el nombre del archivo 40so-psw.ldif.
Algunas referencias del esquema no se cargan cuando 40so-psw.ldif se procesa al inicio (consecuencia: el servidor no arranca).
- Copie el archivo renombrado al directorio de esquema de ambos maestros. (Desde el punto de vista del servidor, el esquema no se ha cambiado sobre el protocolo porque el número de secuencia de cambios de la entrada del esquema sigue siendo el mismo).
Los atributos utilizados durante la operación de enlace deberán ser indexados en Directory Server. (4814412)
Cuando los usuarios de enlace utilizan idsync resync (-f <filename> option), el comando busca el Directory Server para usuarios que coincidan con usuarios de Active Directory o Windows NT. Todos los atributos de Directory Server utilizados en una operación idsync resync deberán indexarse para su equiparación.
El registro central no se puede apagar. (4945507 y 4933217)
Aunque el registro central de Identity Synchronization for Windows (que registra en archivos, syslog o ambos) parece que permite desactivar la creación de registros, el registro central continuará registrándose en la ubicación especificada anteriormente.
Por ejemplo, si especifica el registro syslog en la consola (con el registro de archivos desactivado) y luego desactiva el registro syslog, el programa continuará creando registros en syslog. Si especifica el registro de archivos en la consola (con el registro syslog desactivado) y luego desactiva el registro de archivos, el programa continuará creando registros en archivos.
Se produce el mismo comportamiento si no se selecciona “Write logs to file” y syslog no se ha utilizado nunca. En este caso, el programa continúa escribiendo registros en el directorio.
El reinicio del servicio de Identity Synchronization for Windows no tiene efecto, la creación de registros continuará.
EL botón Synchronization User List Browse puede no funcionar adecuadamente. (4944348)
Si busca una Base DN en el asistente de creación de lista de usuarios de sincronización (SUL) o en el panel del editor, se recomienda comprobar la Base DN obtenida utilizando el botón Browse. En algunos casos, el botón buscará en el directorio incorrecto y presentará una Base DN no válida.
Desactivación de cuentas de usuario en Active Directory. (4943785)
Si un usuario invalida una cuenta de usuario y cambia la contraseña en Active Directory (AD), no podrá autenticarse mediante AD con la nueva contraseña. Sin embargo, tras desactivar una cuenta de usuario en AD, todavía podrá iniciar la sesión mediante Sun Java System Directory Server.
Cambio del puerto del directorio de configuración. (4941271)
Si cambia el puerto por un Sun Java System Directory Server que en la actualidad se utiliza como un directorio de configuración de Identity Synchronization for Windows, también debe ajustar la configuración de Identity Synchronization for Windows de forma que el software reconozca el cambio de puerto o Administrador del sistema y el agente de Message Queue no funcionarán.
Solución del problema
- Modifique el puerto en <imq_installroot>\imq\var\instances\psw-broker\props\config.properties.
Por ejemplo, imq.user_repository.ldap.server=<host>\:<port>- Modifique el puerto en <isw_installroot>\resources\SystemManagerBootParams.cfg
Por ejemplo, <Parameter name="manager.configReg.hostPort" value="<port>"/>- Reinicie el servicio/daemon de agente de Message Queue.
- Reinicie el servicio/daemon de Identity Synchronization for Windows.
La compatibilidad con atributos con varios valores distintos es limitada. (4987930 y 4807260)
Identity Synchronization for Windows sólo proporciona una compatibilidad limitada para la sincronización de atributos de varios valores distintos porque los resultados no están definidos. Se aplican las siguientes restricciones:
- Los valores de un atributo con varios valores se sincronizarán como una unidad. Por ejemplo, si agrega un único valor a un atributo con varios valores que ya cuenta con cuatro valores, entonces se sincronizarán los cinco valores como una unidad y los valores del atributo remoto correspondiente se definirán en estos cinco valores.
- Cuando se enlazan usuarios preexistentes, sus atributos no se sincronizarán automáticamente. Si un atributo con varios valores cambia, los valores del atributo en el origen del directorio remoto se sobrescribirán con los valores del origen del directorio local. Por ejemplo, si agrega un número de teléfono a una entrada que anteriormente tenía vacío el atributo telephoneNumber en Active Directory (AD), el atributo telephoneNumber de la entrada correspondiente en Directory Server se definirá en este nuevo valor, sobrescribiendo cualquier valor existente.
- Las siguientes actualizaciones a un atributo con varios valores pueden no sincronizarse. Si agrega un valor a un atributo con varios valores aproximadamente a la vez que un valor distinto se agrega al atributo con varios valores en la entrada correspondiente del directorio remoto, el atributo se desincronizará. Esta situación también se cumple para los atributos con un único valor.
- Cuando modifica o renombra el atributo cn, cn es un atributo del tipo de varios valores en Directory Server, pero de un sólo valor en AD. AD utiliza este tipo de atributo (y su valor) para generar nuevos DN para las entradas de personas que se van a renombrar o modificar. Debido a que el conector no sabe el valor en un cn de varios valores se debería utilizar para crear el nuevo DN, el conector envía el primer valor de forma predeterminada. Debido a que normalmente el primer valor no es el valor correcto, el cambio de nombre o modificación de AD no tiene éxito.
[30/Jan/2004:16:41:14.831 -0600] WARNING 16 CNN100 dragon "The action does not have a single value for attribute cn. The corresponding user at the remote repository might not have been created with a corresponding attribute value, the attribute might have multiple values, or cn is not a significant or creation attribute for this directory source. See audit log for more information" (Action ID=CNN101-FA6784B526-787, SN=1)
- Cuando modifique un atributo cn utilizando el tipo de cambio modify y el modo add, si agrega más de un tipo de atributo cn o si un tipo de atributo cn ya existe y agrega un tipo de atributo cn nuevo, la operación modify presentará un error. Por ejemplo, si la siguiente entrada cn existe en Directory Server y AD,
Active Directory trata los atributos de descripción como de un único valor incluso si el esquema de AD los describe como de varios valores. (4938940)
Cuando agrega entradas a Directory Server utilizando un atributo de descripción de varios valores, el siguiente error DSID-031D0809 aparecerá en audit.log del conector de Active Directory (AD):
[16/Oct/2003:10:02:54.998 -0500] SEVERE 29 CNN101 dragon "Unable to create user "cn=Aaccf Amar1072,cn=users,dc=example,dc=sun,dc=com" at ldaps://starlingvm0.example.sun.com:636. LDAP add operation failed. Error code: 19, reason: 00002081: AtrErr: DSID-031D0809, #1: 0: 00002081: DSID-031D0809, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att d (description)
" (Action ID=CNN100-F841CDBF2A-2568, SN=8)La entrada existirá en Directory Server pero no en AD.
Este problema parece ser un defecto de Active Directory. Para obtener más información, consulte la Knowdlege Base de Microsoft (286760):
http://support.microsoft.com/default.aspx?scid=kb;en-us;286760&Product=win2000
Solución del problema
Elimine la entrada de Directory Server, convierta el atributo de descripción en un atributo de un solo valor y vuelva a agregar la entrada.Además, no inicie más de un atributo para la descripción en el cuadro de diálogo Define Creation Attribute Mappings and Values.
No se presenta ningún mensaje de error del complemento cuando el certificado Capa de Conexión Segura es de confianza. (4924027 y 4924705)
En una configuración de réplica de varios maestros (MMR), si un complemento de Identity Synchronization for Windows (componente secundario) se comunica utilizando Capa de Conexión Segura (SSL) y un problema de SSL provoca un fallo, si el complemento no genera mensajes de error, probablemente falta un certificado CA del certificado del servidor peer (donde el peer puede ser un maestro preferido, un maestro secundario o Active Directory) en la base de datos de certificados de Directory Server en el que se está ejecutando el complemento.
Puede utilizar la utilidad de línea de comandos idsync certinfo para identificar los certificados que faltan. Esta utilidad identifica los certificados que son necesarios en cada una de las bases de datos (los certificados que espera el producto).
Los usuarios creados en Sun Java System Directory Server deberían incluir todos los atributos en los filtros de lista de usuarios sincronización. (4900568)
Si está sincronizando creaciones desde Sun Java System Directory Server a Windows y las definiciones de la lista de usuarios de sincronización (SUL) de Directory Server incluye filtros, intente crear una entrada con valores de atributos que no coincidan con el filtro SUL, la creación de la entrada no debería aplicarse porque los atributos no están en la SUL. Además, dado que la creación original no se ha difundido, la entrada de Directory Server no se encontrará en Windows.
Solución del problema
Si se produce esta situación, se registrará una advertencia y el administrador deberá ejecutar idsync resync -c -o Sun para crear la entrada de Directory Server en Windows.Si modifica la entrada de forma que los atributos coincidan con el filtro SUL, las modificaciones realizadas a la entrada se difundirán a Windows.
Retraso de sincronización a petición provocado por NetBIOS. (4876741)
Un intento de sincronizar dos dominios de Active Directory (AD), utilizando un Directory Server y una configuración de núcleos en Windows 2000, provocó un retraso cuando la función de sincronización de contraseñas a petición del complemento de Directory Server estaba hablando con AD. La mayoría de las consultas a AD requieren unos pocos milisegundos. Un seguimiento de paquetes ha identificado varios paquetes NBNS (NetBIOS Name Service) sospechosos.
Solución del problema
Para solucionar el problema, debe acceder a la configuración de TCP/IP del equipo Directory Server y desactivar NetBIOS sobre TCP/IP.Espacios de nombres (temas) de Identity Synchronization for Windows utilizados por el bus de mensajes. (4827081)
Además,
La especificación de un host desde el cuadro de diálogo Global Catalog o Configuration Directory puede requerir algún tiempo. (4826109 y 4812651)
Cuando especifica un host al que no se puede acceder, no se muestra ningún indicador de progreso (como un cursor ocupado o una barra de estado) para indicar que hay algo funcionando.
Los nombres de usuarios de NT deben ser únicos. (4825636)
Cuando crea un usuario en Directory Server para que vaya a NT, debe asegurarse que el atributo de Directory Server asignado a USER_NAME tiene valores únicos.
Indique a los usuarios que aseguren los archivos de configuración XML mediante listas de control de acceso (ACL). (4812824)
Use protección de nivel de archivo para los archivos de configuración XML. Estos archivos pueden contener valores de contraseña de texto en blanco de forma que se deben asegurar utilizando los mecanismos proporcionados en su sistema, como ACL a nivel de archivos.
Relación de la lista de usuarios de sincronización y de base de datos. (4811577)
Identity Synchronization for Windows sólo admite una base de datos de Directory Server. Debe incluir todas las listas de usuario en una única base de datos de Directory Server.
El número de registros puede crecer sin límites. (4807451)
A menos que guarde o elimine los registros antiguos, el número de cada tipo de archivo de registro en Identity Synchronization for Windows crecerá sin límite (uno al día).
Los registros se nombran en el siguiente formato:
Se mantienen los siguientes registros:
Estos registros se encuentran en:
Una entrada con caracteres especiales no sincronizará de Directory Server a Active Directory. (4816867)
Identity Synchronization for Windows no puede resolver los caracteres especiales (debido a restricciones de asignación) y Active Directory (AD) no puede crear el usuario porque uno o más caracteres especiales se han utilizado en uid.
La consola AD no permite crear un “user logon name” que
El valor predeterminado del atributo useraccountcontrol evita la creación de clases de objeto de Active Directory que no sean de usuarios. (5043156)
Los usuarios no se pueden crear en Active Directory si la clase de objeto seleccionada para los nuevos usuarios no permite el atributo useraccountcontrol. Esta limitación no se aplica a las situaciones donde la clase de objeto de usuario o cualquier otra clase de objeto derivada del usuario permiten el atributo useraccountcontrol en Active Directory.
Solución del problema
Edite el usuario de configuración utilizando la consola de Directory Server. Encuentre y elimine el atributo useraccountcontrol.Por ejemplo:
dn: cn=130,ou=AttributeDescriptions,cn=active[2],ou=GlobalConfig,ou=1.1,ou=Ide
ntitySynchronization,ou=Services,dc=central,dc=sun,dc=com
pswVersion: 2
pswName: useraccountcontrol
pswSyntax: 1.3.6.1.4.1.1466.115.121.1.5
pswValue: 512
pswPreferCreationAttributeDefaultToAction: false
cn: 130
objectClass: pswattributedescription
objectClass: topEdite también todas las referencias al atributo useraccountcontrol, especialmente en el atributo pswCreationAttributeDefaultRef del esquema global de Active Directory.
Por ejemplo:
dn: cn=127,ou=ActiveDirectory,ou=Globals,cn=active[2],ou=GlobalConfig,ou=1.1,o
u=IdentitySynchronization,ou=Services,dc=central,dc=sun,dc=comNo se realiza ninguna validación para los valores predeterminados. (5051725)
Los valores predeterminados se pueden especificar para los atributos y se pueden aplicar a las entradas de directorio cuando se crean los atributos (consulte “Creation Attributes” en Sun Java System Identity Synchronization for Windows Installation and Configuration Guide). En la actualidad no se realiza ninguna validación en los valores de atributos que especifica. La especificación de varios valores para atributos que tienen un único valor dará un error en la creación de objetos durante la sincronización de las entradas. Cuando especifique valores de atributos, asegúrese de que los valores que especifica son compatibles con el esquema LDAP de su empresa.
Tratamiento inconsistente de las modificaciones si el usuario aparece en la lista de usuarios de sincronización (SUL). (4970664)
Si el usuario se encuentra en el ámbito de una lista de usuarios de sincronización (SUL) como resultado de una modificación (por ejemplo, la SUL tiene un filtro “l=Austin” y el usuario se ha modificado para que tenga el atributo l definido como Austin),Sun Java System Identity Synchronization for Windows trata esta actualización de usuario de forma distinta en Active Directory y en Sun Java System Directory Server:
- Si la actualización del usuario se ha producido en Active Directory, el conector de Identity Synchronization Directory Server creará el usuario correspondiente.
- Si la actualización del usuario se ha producido en Sun Java System Directory Server, el usuario correspondiente no se crea en Active Directory. La ejecución de resync -c -o Sun puede ayudar a resolver este problema.
También se sincronizan las entradas que cuentan con una clase de objeto estructural heredada de la clase de objeto seleccionada para sincronizar. (5046861)
Por ejemplo, si se selecciona la clase de objeto organizationalperson, los usuarios con la clase de objeto inetorgperson también se sincronizarán porque inetorgperson es una subclase de organizationalperson.
Para evitar que se realice esta acción, incluya un filtro en la SUL que excluya la subclase:
(!(objectclass=inetorgperson))Normalmente esto producirá un problema cuando utilice resync para sincronizar las entradas eliminadas porque las subclases también se eliminarán. Por ejemplo, con Active Directory la clase de objeto computer se hereda de user, y las entradas de computer pueden eliminarse porque no tienen una entrada de Directory Server correspondiente. Para evitar que las entradas computer se sincronicen, incluya un filtro en la SUL que lo excluya:
(!(objectclass=computer))Los archivos de registro no se eliminan automáticamente después de su fecha de caducidad. (5069020)
Los archivos de registro que son más antiguos que el número específico de días para su eliminación no se eliminan.
Los valores de atributo de creación predeterminados pueden configurarse incorrectamente o fallar en la lógica de validación. (5066657)
Si el nombre del atributo de creación es el mismo para Directory Server y el origen de datos Active Directory, al agregar valores predeterminados a uno se añadirán automáticamente los mismos valores predeterminados al otro origen.
Solución del problema
Elimine el mapa de atributos de creación y los atributos de creación de la consola y vuelva a agregarlos de nuevo. Antes de guardar, haga lo siguiente:
Si los nombres de los atributos asignados son los mismos y las sintaxis (OID) de los atributos en los esquemas Active Directory y Directory Server son las mismas:El valor predeterminado del atributo useraccountcontrol evita la creación de clases de objeto de Active Directory que no sean de usuarios. (5043156)
Los usuarios no se pueden crear en Active Directory si la clase de objeto seleccionada para los nuevos usuarios no permite el atributo useraccountcontrol. La clase de objeto de usuario (o cualquier otra clase de objeto derivada del usuario) permite el atributo useraccountcontrol en Active Directory y no se ve afectada por esta limitación.
No se puede asignar InetOrgperson con una clase extendida que tenga un atributo obligatorio. (5091959)
Por ejemplo, se puede mostrar un mensaje de error que indique que no se han especificado valores o asignaciones de Sun para el atributo mail de Active Directory, donde mail es el atributo obligatorio que está asignado al atributo de correo de Sun.
En Identity Synchronization for Windows Installation and Configuration Guide no se menciona la existencia del botón “Siguiente” ni del panel “Resumen”. (5104768)
En Identity Synchronization for Windows Installation and Configuration Guide se afirma que, al final de cada ejecución, debe salir del asistente usando el botón “Cerrar” del panel de resumen de la instalación. Sin embargo, el botón “Cerrar” no existe en dicho panel. En el panel del resumen de la instalación, debe hacer clic en el botón “Siguiente”, lo que le permite acceder a un panel que describe los pasos de instalación y configuración que todavía debe efectuar. En las operaciones de instalación que no sean del núcleo, este panel cuenta con un botón “Terminado” que permite salir del asistente cuando se hace clic en él. Para las instalaciones del núcleo, el panel muestra un botón “Siguiente” que, al hacer clic en él, le permite desplazarse a otro panel donde se le pregunta si desea iniciar la consola. Desde este panel, puede salir del programa de instalación usando el botón “Terminado”.
Limitaciones en el uso con WAN. (5097751)
Identity Synchronization for Windows se puede implementar en un entorno de red de área amplia (WAN), aunque existen ciertas restricciones.
Excepto el complemento de Directory Server, todos los componentes de Identity Synchronization for Windows se deben instalar en la misma red de área local (LAN), por ejemplo, en el mismo equipo; es decir, no se debe producir tráfico de Message Queue a través de una WAN. Los componentes pueden comunicarse mediante una WAN con los controladores de dominio de Directory Server o Active Directory.
El rendimiento que se obtenga al usar una WAN depende de la latencia y de la velocidad de los enlaces. Se recomienda usar, como mínimo, una conexión T1 (1.544 Mbps) y una latencia no superior a los 300 MS entre cada conector y el directorio que dicho conector gestiona. En una instalación en la que Active Directory y Directory Server estén separados por una WAN, el mejor rendimiento se obtiene instalando el conector de Directory Server en la misma LAN que Directory Server y haciendo que el conector de Active Directory se comunique con Active Directory usando la WAN.
Archivos que se pueden distribuirSun Java System Identity Synchronization for Windows 1 2004Q3 no contiene ningún archivo que se pueda distribuir.
Información sobre problemas y respuestas de los clientesSi experimenta problemas con Sun Java System Identity Synchronization for Windows, póngase en contacto con el servicio de atención al cliente de Sun usando uno de estos procedimientos:
http://www.sun.com/service/sunone/software
Este sitio dispone de enlaces a la base de datos de soluciones, al centro de asistencia en línea y al rastreador de productos, así como a programas de mantenimiento y números de contacto de asistencia.
Para que podamos ayudarle de forma óptima en la resolución de problemas, tenga a mano la siguiente información cuando se ponga en contacto con el servicio de asistencia:
- Descripción del problema, incluida la situación en la que éste se produce y la forma en que afecta al funcionamiento
- Tipo de máquina, versión del sistema operativo y versión del producto, incluida cualquier revisión del producto y otro software que pudiera influir en el problema
- Pasos detallados de los métodos que haya usado para solucionar el problema
- Cualquier registro de error o volcado del núcleo
Sun valora sus comentarios
Sun tiene interés en mejorar su documentación y valora sus comentarios y sugerencias. Para enviar sus comentarios a Sun, use el formulario basado en Web que aparece en:
http://www.sun.com/hwdocs/feedback/
Indíquenos el título completo de la documentación y el número de pieza en los campos pertinentes. Puede hallar el número de pieza en la página del título del libro o en la parte superior del documento. Normalmente, es un número que consta de siete o nueve dígitos. Por ejemplo, el número de pieza correspondiente a estas Notas de la versión Identity Synchronization for Windows 1 2004Q3 es 817-7851.
Recursos adicionales de SunPuede encontrar información útil de Sun Java System en las siguientes direcciones de Internet:
- Documentación para Sun Java System Identity Synchronization for Windows 1 2004Q3
http://docs.sun.com/coll/S1_IdSyncForWin_1.0- Documentación de Sun Java System
http://docs.sun.com/prod/sunone- Servicios profesionales de Sun Java System
http://www.sun.com/service/sunps/sunone- Servicio y productos de software de Sun Java System
http://www.sun.com/software- Servicios de asistencia al cliente de software de Sun Java System
http://www.sun.com/service/sunone/software- Base de datos de soluciones y asistencia al cliente de Sun Java System
http://www.sun.com/service/support/software- Servicios de formación y asistencia al cliente de Sun
http://training.sun.com- Servicios profesionales y de consultoría de Sun Java System
http://www.sun.com/service/sunps/sunone- Información de desarrolladores de Sun Java System
http://sunonedev.sun.com- Servicios de asistencia para programadores de Sun
http://www.sun.com/developers/support- Formación de software de Sun Java System
http://www.sun.com/software/training- Hojas de datos de software de Sun
http://wwws.sun.com/software
Copyright © 2004 Sun Microsystems, Inc. Todos los derechos reservados.
Sun Microsystems, Inc. tiene derechos de propiedad intelectual relacionados con la tecnología incluida en el producto descrito en este documento. Especialmente, aunque sin limitarse a ellos, dichos derechos de propiedad intelectual pueden incluir una o varias de las patentes de EE.UU. que aparecen en http://www.sun.com/patents, así como otras patentes adicionales o solicitudes de patentes en EE.UU. y otros países.
PROPIEDAD/CONFIDENCIAL DE SUN
Derechos del gobierno de Estados Unidos: Software comercial. Los usuarios gubernamentales están sujetos al acuerdo de licencia estándar de Sun Microsystems, Inc. y a las disposiciones aplicables de la regulación FAR y sus suplementos.
El uso está sujeto a las condiciones de la licencia.
Esta distribución puede incluir materiales desarrollados por terceras partes.
Algunas de sus partes pueden proceder de sistemas Berkeley BSD, con licencia de la Universidad de California.
Sun, Sun Microsystems, el logotipo de Sun, Java y Solaris son marcas comerciales o marcas comerciales registradas de Sun Microsystems, Inc. en Estados Unidos y otros países. Todas las marcas comerciales de SPARC se utilizan bajo licencia y son marcas comerciales o marcas registradas de SPARC International, Inc. en EE.UU. y en otros países.