home *** CD-ROM | disk | FTP | other *** search

---

/ Network Support Encyclopedia 96-1 / novell-nsepro-1996-1-cd2.iso / download / netware / dsenh.exe / README.TXT

< prev

next >

Wrap

Text File  |  1995-09-13  |  46KB  |  1,073 lines

---

1. DS Enhancement Pak 
2. September 1995
3.  
4.  
5. The DS Enhancement Pak is provided as a compressed file named
6. DSENH.EXE and will expand into the following files:
7.  
8. README.TXT   - This text file
9.  
10. DS.NLM - Version 4.89a of the Directory Services for NetWare 4.10
11.  
12. DSREPAIR.NLM - Version 4.26b of the Repair utility for NetWare
13. 4.10
14.  
15. DSMAINT.NLM - Version 4.89   This is a new DS maintenance 
16. utility which provides for more simple hardware maintenance.
17.  
18. UPGRADE.TXT - a text file describing the recommended process for
19. upgrading NetWare 4.0x to NetWare 4.10
20.  
21. REPAIR.NLM - Version 2.23 of the Repair utility for NetWare 4 
22. versions before version 4.10.  This file should be renamed to
23. DSRPEAIR.NLM when copied to the file server.
24.  
25. REPAIR.DOC - a text file with instructions for the use of the
26. DSREPAIR.NLM version 2.23
27.  
28. NOTES:
29. The REPAIR.NLM is for all NetWare versions before 4.10.  Rename
30. REPAIR.NLM to DSREPAIR.NLM when you place it on the old server. 
31. The DS in prior NetWare 4.0x  is contained within the Operating
32. System and cannot be replaced.  The DS.NLM will therefore only
33. work with NetWare 4.10.  The UPGRADE.TXT includes instructions
34. for upgrade from previous versions of NetWare 4.0x to 4.10 and
35. may be disregarded in new installations.
36.  
37.  
38. CONTENTS
39. I.     NEW DS VERSION
40. II.    HOW TO INSTALL
41. III.   DSREPAIR
42. IV.    DSMAINT
43. V.     NDS PROTOCOL ISSUES
44. VI.    HOW TO RESOLVE DS ERRORS
45. VII.   SOME FREQUENTLY ASKED NDS QUESTIONS.
46.  
47.  
48.  
49. I.  NEW DS VERSION
50.                                 
51. The DS Enhancement Pak contains DS.NLM version 4.89 for NetWare
52. 4.10 file servers.  This file replaces the previous Directory
53. Services and provides increased performance, additional
54. functionality, and addresses any known issues.  All NetWare 4.10
55. servers should be updated to this new version to obtain the new
56. functionality.  
57.  
58. Performance: 
59. This DS.NLM significantly increases the performance of NetWare
60. Directory Services.  Some of the improvements will be noticeable
61. to the users, while others will improve the background processes
62. and are not immediately apparent.
63.  
64. Changes in the login and authentication process will reduce the
65. time it takes to accomplish tasks when large numbers of users
66. attempt concurrent access.  Improvements in the resolve name
67. routines will also allow DS to more quickly locate objects and
68. complete the required actions.
69.  
70. Background processes involving revision attributes and backlinks
71. have been altered to improve synchronization and replication,
72. especially when operations were not "normal" because of server or
73. communications faults.  The introduction of a "tuned resolve
74. name" ability in background consistency checking of external
75. references insures greater reliability and improved performance.
76.  
77. Bindery Services:
78. Code changes in how the bindery handles names have been improved,
79. and in general performance will be improved and server
80. utilization will be reduced.  A name can now exist in more than
81. three of the bindery contexts set on a server and show up during
82. a list operation.  Previously, this was not the case.
83.  
84. Management: 
85. The addition of the "Partition Status" attribute makes it easy to
86. determine the health of background synchronization.  This
87. attribute keeps a record of the last successful time a complete
88. synchronization cycle was accomplished.  If synchronization
89. errors were encountered, a record of those errors is recorded in
90. this attribute.  Included in the error record is the object on
91. which the failure occurred, the server to which synchronization
92. was being attempted and whether it was a local or remote error. 
93. This status is displayed by the new DSREPAIR.NLM, the enclosed
94. sample utilities, and will be used in future management tools.
95. This functionality reduces the time required to administer the
96. Directory Services.
97.  
98. Internal DS commands were added to assist in making future
99. utilities more useful.  These will promote self-healing and
100. global repair strategies.  Status flags may be used in future
101. utilities to alert an operator that a partition operation may be
102. placed on hold because a server in the ring is down.
103.  
104. Backward Compatibility
105. Additional work has been done to ensure interoperability with 
106. previous versions of NetWare 4.0x.  In the event that data
107. inconsistencies are encountered in the old directory database
108. the new DS will attempt to correct them.
109.  
110.  
111. The DS.NLM version 4.89 is appropriate for ALL NetWare 4.1
112. servers.  Although all versions of NetWare 4.10 Directory
113. Services interoperate, you are strongly encouraged to upgrade 
114. all NetWare 4.10 servers to the same version to insure
115. consistency and easier future maintenance.
116.  
117.  
118. II.  HOW TO INSTALL THE DS.NLM
119.  
120. If you are upgrading from NetWare 4 versions prior to 4.10
121. Please read the attached UPGRADE.TXT file first.
122.  
123. DS.NLM is normally installed as part of a server upgrade or new
124. install. It also may be loaded and activated on existing NetWare
125. 4.10 servers without the need to restart the server.  
126.  
127. Note: If you have installed the NetWire patch DSPRCSFX.NLM
128. version dated 4-28-95 it MUST be replaced with the version 
129. dated 5-10-95 and the server rebooted before the new DS is
130. installed. 
131.  
132.  
133. A.  EXISTING 4.10 SERVERS
134.  
135. MANUAL METHOD
136.  
137. To install the new DS.NLM on an existing NetWare 4.10 server
138. you should:
139.  
140. 1.  Log into the network as ADMIN or a user with rights to the
141. SYS:\SYSTEM directory of a current NetWare 4.10 file server.  
142. Locate the file SYS:\SYSTEM\DS.NLM
143.  
144. 2.  Copy the new DS.NLM file to the SYS:\SYSTEM directory of the
145. NetWare 4.10 file server to be upgraded and overwrite the
146. existing file.  You should also copy the DSREPAIR.NLM and
147. overwrite the old file on SYS:\SYSTEM.
148.  
149. 3.  At the file server console of the server being upgraded (or
150. using RCONSOLE) toggle to the system console screen.
151.  
152. 4.  Enter the command "SET DSTRACE = *." and press <Enter> to
153. reload the Directory Services without downing the server.
154.  
155. 5.  Repeat the process for each 4.10 server in the network which
156. may be running the older version.
157.  
158. 6.  Although you do not have to upgrade all servers at once, the
159. DSREPAIR status commands will not report the status of servers
160. running the older version.
161.  
162. NOTE: Reloading the DS will not affect currently connected users.
163. Users who request new connections while the file server reloads
164. will, however, receive an error because the data base is still
165. closed.  You may wish to perform the upgrade during a period
166. of minimal user activity.
167.  
168. B.  NEW INSTALLS OF NETWARE 4.1
169.  
170. Because it is not possible to copy the DS.NLM file to the
171. read-only CDROM one of the following processes must be used:
172.  
173. 1.  Staging Server (Preferred)
174.  
175. Many people copy the contents of the CDROM to another
176. server's magnetic disk drive and perform the install across
177. the network.  Generally this provides high performance and
178. the ability to alter the files to be installed.  If you use
179. this method you should copy the new DS.NLM to the 
180. NW410\SYSTEM\PREINST directory.  
181.  
182. Run the installation and the correct DS will be loaded and
183. activated.
184.  
185.  
186. 2.  Install or Upgrade from CDROM
187.  
188. The CDROM may be connected directly to the file server being
189. installed or upgraded or it may be attached to another file
190. server and accessed across the network.
191.  
192. BEFORE you begin the upgrade of the NetWare 4.0x server
193. you must first copy the new DS.NLM onto the file server in
194. the SYS:\system directory.  Prior to NetWare 4.10 the DS was
195. embedded in the Operating System, so this will have no effect
196. on the operation of the server and may be done at any time
197. before the upgrade. 
198.  
199. Begin the installation in the normal fashion.  During the
200. "Preliminary file copy" the older DS.NLM would normally be
201. copied to the file server.  When the install program detects
202. a newer version is already present it will display the file
203. name and ask "over write newer version?"  Answer "NO" and
204. continue with the installation.
205.  
206. III.  DSREPAIR v 4.26
207.  
208. In addition to enhancement of the Directory Services Novell
209. continues to enhance the diagnostic and repair utilities.  At
210. your convenience you should copy the DSREPAIR.NLM to the
211. SYS:\SYSTEM directory of each file server. The DSREPAIR.NLM
212. version 4.26b contains new functionality and  will more
213. completely identify and correct data inconsistencies.  The older
214. DSREPAIR.NLM version 4.23 may still be used with the new version
215. of the DS, but will not provide these improvements.
216.  
217. Although the DSREPAIR version 4.26 will identify and correct data
218. inconsistencies for any version of the DS you cannot obtain
219. status information from servers which are not running the new 
220. DS version 4.89.  
221.  
222. Once the new DS NLM is loaded and synchronization has
223. occurred the status information about DS replication and
224. synchronization will be available.  The option on the first menu
225. "Report Synchronization Status" will display and log the status 
226. of ALL copies of ALL replicas of ALL partitions contained on 
227. this server.  It will contact each server which contains a
228. replica copy and verify the status.  If this involves multiple
229. partitions and many copies the screen display will scroll rapidly
230. and the logfile will be required to check the results.
231.  
232. By careful selection of servers you should be able to obtain data
233. on the status of your entire tree without checking all servers.
234.  
235. A sub-set of the above information may also be obtained.  From
236. the "Advanced Options" sub-menu you may select "Replica and
237. Partition Operations" and then select a partition.  Selecting the
238. new option "Report Synchronization Status" will contact all
239. servers with a replica of that partition and then display and log
240. the status.
241.  
242. You may also select the option "View Replica Ring", select a
243. server, and display the status of the replica on that server.  
244.  
245. See the "How to resolve DS errors" section below for more
246. details
247. on the DS error messages.
248.  
249.  
250.  
251. IV.  DSMAINT
252.  
253.  
254. The DSMAINT.NLM provides control of NetWare Directory Services
255. (NDS) when certain hardware maintenance operations are necessary. 
256. Because it deals with the Directory information on a specific
257. server, it is run from that server's console.  You may wish to
258. copy it to the SYS:\SYSTEM directory so it is available if
259. needed.
260.  
261. The DSMAINT utility provides functionality to address two
262. specific scenarios that NetWare administrators may experience.
263. Each specific situation is addressed by a pair of features in the
264. utility that work together.  One command begins a process;
265. another completes it.
266.  
267.  
268. Scenario One: NDS and Upgrading Server Hardware
269.  
270. There are times when a server requires an upgrade that does not
271. affect the server as a Directory object.  For example, the SYS:
272. volume may be physically located on an old hard disk drive that
273. needs to be upgraded.
274.  
275. In these situations, you no longer need to uninstall NDS from the
276. server.  You can use DSMAINT to prepare Directory information on
277. the server for the upgrade. Then, after the upgrade, you can
278. restore Directory information to the server with DSMAINT.
279.  
280. The "Prepare NDS for a hardware upgrade" option prepares the
281. Directory information on this server for a planned hardware
282. upgrade of this server.  DSMAINT creates a file 
283. (SYS:\SYSTEM\BACKUP.DS) that stores all the Directory information
284. on this server, including replica information. This file should 
285. be included in backup procedures before bringing the server down.
286.  
287. The "Prepare NDS for a hardware upgrade" option locks and 
288. disables the Directory on this server, preventing any data 
289. change.  To other servers that normally communicate with this 
290. server, the server appears to be down.  Any Directory information 
291. that normally is sent to the locked server is stored by other 
292. servers in the Directory; the "stored" information is used to 
293. synchronize the server when it comes back online.
294.  
295. Because the global Directory is expecting the server to come back 
296. online quickly, you should not plan to take several days to 
297. upgrade the server.  Complete the upgrade promptly and restore 
298. Directory information on the server as soon as possible.
299.  
300. The "Restore NDS after a hardware upgrade" option uses the file 
301. created by the "Prepare..." option (SYS:\SYSTEM\BACKUP.DS) to 
302. restore Directory information on this server.  Before the 
303. Directory is restored, DSMAINT ensures that the server is in the 
304. same relative state as before the upgrade.  DSMAINT ensures that 
305. the server's object and authentication keys still exist and that 
306. the server still exists in all the replica rings for copies that 
307. were on this server before the upgrade.
308.  
309.  
310. Procedure:
311.  
312. IMPORTANT: If you use backup software that needs to be logged in 
313. to the Directory, log it in before you use this option.  Because 
314. the option closes the Directory on this server, you cannot 
315. authenticate to this server after performing the option.
316.  
317. 1. Log in your backup software or if you have a current backup
318. login as Admin.  The object of this step is to ensure that there
319. is an authenticated connection with Admin rights to SYS:SYSTEM.
320.  
321. 2. Load DSMAINT and use the "Prepare NDS for a hardware upgrade" 
322. option; then, back up the server.  If a backup was already performed
323. the BACKUP.DS file will need to be copied to the client's harddrive.
324. The object of this step is to not only backup the data, but to also 
325. get a backup of the BACKUP.DS file in the SYS:SYSTEM subdirectory 
326. which was created by DSMAINT.
327.  
328. 3. Bring down the server and perform the upgrade.
329.  
330. 4. Use the INSTALL utility to reinstall NetWare and place a 
331. "temporary" Directory on the server.  Install the server to its 
332. OWN temporary Directory tree, not your normal Directory tree.  
333. The temporary Directory tree will be replaced in step 7.
334.  
335. 5. Copy the DSMAINT.NLM and restore BACKUP.DS to the SYS:\SYSTEM 
336. directory.
337.  
338. 6. Use the INSTALL utility to remove NDS from this server.  This 
339. option is under INSTALL's "Directory options" menu.
340.  
341. 7. Load DSMAINT.NLM at the server console and use the "Restore 
342. NDS after a hardware upgrade" option to restore the correct 
343. Directory information to the server.
344.  
345. 8. Restore Data from backup performed in Step 2.
346.  
347. 9. Run DSREPAIR
348.  
349. 10. Load INSTALL and upgrade mounted volumes.
350.  
351. IMPORTANT: This procedure may create trustee assignments that did 
352. not exist before the upgrade.  By default, the container object 
353. into which the server is installed receives Read and File Scan 
354. rights to the server's SYS:\PUBLIC directory.  If these rights 
355. were previously removed you will need to remove them again.
356.  
357.  
358. Scenario Two: Maintaining Server References during a Brief 
359. Shutdown
360.  
361. At times, it is necessary to remove a NetWare Server object from 
362. the Directory for a brief period of time.  For example, in the 
363. case of a corrupt authentication key, it is necessary to 
364. reinstall NDS on the server.  During the uninstall process, the 
365. NetWare Server object is removed from the Directory.  When the 
366. NetWare Server object is removed from the Directory, objects that 
367. reference it in their required attributes can become Unknown 
368. objects.  A similar type of problem can occur with services like 
369. printing that are associated with a physical server.
370.  
371. With DSMAINT, you can avoid losing objects and ease 
372. reinstallation by replacing references to the server with 
373. references to another object that you create for this purpose.  
374. After installing NDS on the server again, you can use DSMAINT to 
375. replace these references to the server in other objects' Host 
376. Server, Host Device, or Message (Default) Server attributes.
377.  
378. The "Replace server references" option searches the Directory and 
379. replaces references to this server's NetWare Server object in 
380. other objects' Host Server, Host Device, or Message (Default) 
381. Server attributes with a reference to another Directory object.
382.  
383. The "Restore server references" option restores references to 
384. this server in other objects' Host Server, Host Device, or 
385. Message (Default) Server attributes.  This option reverses the 
386. replacements made by the "Replace server references" option.
387.  
388. Procedure:
389.  
390. 1. Begin by selecting an object for "holding" the references.  
391. This can be an existing User object, but must not be a NetWare 
392. Server object.  The user object you have logged in as would be 
393. appropriate.
394.  
395. 2.  Now select the "Replace server references" option.  You are 
396. required to enter the full name of the container where you want 
397. to begin searching for objects that reference this server's 
398. NetWare Server object.  You also need to enter the full name of 
399. the object you want DSMAINT to use as a replacement value (such 
400. as a TEMP User object).  
401.  
402. 3. At this point, you can uninstall and reinstall NetWare 
403. Directory Services.
404.  
405. 4. Once NDS is properly operating, you can select the "Restore 
406. server references" option to reverse the replacements made by the 
407. "Replace server references" option.  You will again be required 
408. to provide the full name of the temporary object that is holding 
409. the references.
410.  
411. Note:  DSMAINT automatically removes volume IDs from the
412. physical volumes on the server so Volume objects are not removed
413. during an uninstall.
414.  
415.  
416.  
417. V.  NDS PROTOCOL ISSUES
418.  
419. RIP and SAP FILTERING
420.  
421. An administrator might consider installing RIP filtering in order
422. to reduce traffic on a heavily used segment of his network.  This
423. however, is not a healthy approach in the distributed world of
424. NDS since it is possible that at anytime it may be necessary for
425. any given server in the tree to contact any other server in the
426. tree.  The logical approach currently taken by administrators is
427. to examine the replica sets of the NDS tree and based on replica
428. placement assume that server X has no need to talk to server Y
429. and therefore it is okay to install a RIP filter between them. 
430. This is bad.  It can cause other parts of background
431. synchronization to fail thereby endangering consistency of
432. objects in the tree.  For example, an external reference on one
433. server may be unable to contact another server with the real
434. object (because of a filter) and place a backlink value on the
435. object.  Backlinks are used to inform external references of
436. renames, moves, deletions, and so forth, that happen to real
437. objects.  It is Novell's recommendation that RIP filtering not be
438. used.
439.  
440. When reviewing SAP filtering be aware that SAP type 278 is used
441. by clients to discover directory services on initial boot up.  
442. The clients will revert to SAP type 4 if 278 is not discovered. 
443. SAP type 278 also is used by install when selecting which
444. directory services tree will contain the  server.  Some NDS
445. partition operations use SAP type 278, while others use SAP type
446. 4 such as tree-walking when an intermediate partition is
447. unavailable.  Servers that have child/parent replicas must be
448. able to see each other's SAP type 4.  Novell does not recommend
449. filtering these SAP types.
450.  
451.  
452. If you desire to do additional SAP filtering you may want use
453. configured Time Sources.  This will allow you to eliminate SAP
454. type 26B.
455.  
456. In the future it will be possible to filter out all SAPs as this
457. information will be in the DS.
458.  
459.  
460.  
461. IPX SOCKET LIMITS
462.  
463. NetWare servers have a default maximum of 1200 IPX sockets when
464. first installed.  Every time an outgoing connection is
465. established, three IPX sockets are employed, one socket conducts
466. primary NCP packet exchanges, another is used by a watchdog
467. timer, and the last is used to retrieve messages from the server. 
468. This effectively limits NLMS needing an outgoing IPX connection
469. to a combined maximum of 400 unless the default is changed.
470.  
471. Experience would indicate that at about 350 servers in a tree
472. this problem could begin to occur.  It is most likely in the case
473. where a server contains a replica of every partition in the tree. 
474. In this case that single server would be the only one on which
475. the socket limit would need to be increased.  In most cases it is
476. only necessary to change the default on selected servers that
477. have high sockets requirements.
478.  
479. The symptom exhibited when the connections limit is exceeded is
480. an error  -119 on the DSTRACE screen and a significant number of
481. -625 errors.  The solution is to run the SPXCONFG.NLM and
482. increase the maximum open IPX sockets from 1200 to a higher
483. value.  Unfortunately, the default will be re-established when
484. the server is rebooted.  To make the IPX configuration permanent,
485. add the following line in the AUTOEXEC.NCF
486.  
487. LOAD SPXCONFG Q=1 I=<n> 
488.  
489. where n is the maximum open IPX sockets between 120-65520
490.  
491. You should begin by changing the value to 2040 and monitoring for
492. possible errors.
493.  
494.  
495.  
496.  
497.  
498. VI.  HOW TO RESOLVE DS ERRORS
499.  
500. It is important to remember than NDS is designed to be loosely
501. consistent, which means that at any given instant not all
502. replicas will be synchronized.  This will be especially true if
503. significant administrative changes have recently been made, if
504. partitioning operations were recently done, or if servers or
505. communications links have been down.  This is normal operation,
506. and replicas will converge.  There is cause for concern, however,
507. when replicas are out of sync for extended periods for no
508. apparent reason.  
509.  
510. Care should be taken to properly interpret the information the
511. error messages provide.  The suggestions contained below are 
512. general and may need to be modified to apply to your specific 
513. situation. 
514.  
515.  
516.  
517.  
518.  
519.  
520.  
521. DSREPAIR DEFINITIONS
522.  
523.  
524. Source Server:  The server where the error is displayed (local).
525.  
526. Target Server:  The server whose name is listed in with the error 
527. message (remote).
528.  
529. Send All Objects:
530.   An option available in the 4.1 DSREPAIR under "Advanced 
531. Options", "Replica and partition operations", <select partition>, 
532. "Send all objects to every replica in the ring."  
533.  
534. A better option is generally "Receive all objects from the master 
535. to this replica" (available from the same menu as Send all 
536. Objects) because receiving from the master involves only two 
537. servers in the synchronization.  See below.
538.  
539. Send All Objects will send all information from the source 
540. server to every other server in the replica list including the
541. Master replica) and update missing or old information.  For
542. instance, user SAM may have a phone number on replica one with 
543. no E-mail address, but replica two may think that SAM has an
544. E-mail address but no phone number.  
545.  
546. If you were to do a Send All Objects from replica one on SAM's 
547. partition, replica two would then get the phone number in  
548. addition to keeping the E-mail address.
549.  
550. This is similar to a Repair Time stamps or Receive All Objects 
551. except that 1) Repair Time stamps and Receive All Objects always 
552. take information from the Master replica and Send All Objects 
553. allows you to choose the replica from which to send information; 
554. and 2) Repair Time stamps and Receive All Objects will overwrite 
555. data on the target replicas while Send All Objects merely sends 
556. information from the source server while not writing over 
557. anything the target may have in addition to what the source is 
558. sending.
559.  
560. Send All Objects generates quite a bit of traffic since the 
561. source server resends all data in the partition to all servers in 
562. the replica list.  It is also easy to do a Send/Receive All 
563. Objects from a bad replica and therefore corrupt all the other 
564. replicas, so please be careful about performing any of these 
565. options and make sure you check the validity of the replica you 
566. use as the source before executing any of these commands.
567.  
568. If a Send All Objects is executed but a server in the replica 
569. list is down, the Send will continue to try to update each server 
570. in the replica list with all the objects until it can get an ALL 
571. PROCESSED=YES on the operation.
572.  
573. Do not perform a Send/Receive All Objects if a server in the 
574. replica list is down!
575.  
576.  
577. Receive All Objects: 
578.  
579. An option available in the 4.1 DSREPAIR under "Advanced Options", 
580. "Replica and partition operations", <select partition>, "Receive 
581. all objects from the master to this replica." 
582.  
583. This is generally a better option because receiving from the 
584. master involves only two servers in the synchronization.  The 
585. disadvantage of Receive All Objects is that the Master replica 
586. then completely replaces the information on the source server's 
587. replica.
588.  
589. This option generates less traffic, but cannot be used unless the 
590. Master replica has the good copy and the server with the problem 
591. copy is 4.10.
592.  
593. If you cannot use a Receive All Objects, you will need to do a
594. Send All Objects.
595.  
596.  
597.  
598. It can be dangerous to do ANY of these options in a mixed 
599. environment (a tree containing both 4.0x and 4.10 servers) if 
600. there are any rename problems (objects which have been renamed to 
601. #_#, i.e. 3_2, due to name collisions).  Therefore, check for 
602. renames before issuing a Send All Objects or a Receive All 
603. Objects.
604.  
605.  
606.  
607.  
608. CODES DISPLAYED
609.  
610. The errors listed here can be encountered when running the report 
611. replica synchronization status option available from the main 
612. menu of DSREPAIR.NLM 4.26b.  
613.  
614. Note:  Any servers which have not been upgraded to DS version
615. 4.89 will display the name of the server followed by :??? 
616.  
617. Some errors may be transient in nature and will correct
618. themselves.  Other errors, such as communications failures, over
619. which you may not have control, may require correction by
620. communications technicians.  In each case check the date and time
621. of last synchronization to determine the scope of the problem.
622.  
623. Within each error message a code of either LE (local error) or RE
624. (remote error will be displayed).  RE indicates that the error is
625. not on the named server, but is "remote" to that server.  The LE
626. indicates that the error exists on the named server.  Generally
627. running DSREPAIR on that named server will be the first step to
628. repairing the problem.  For each error identified refer to the 
629. recommendation below.
630.  
631.  
632. -603 0xFFFFFDA5     FDA5   NO_SUCH_ATTRIBUTE            
633. Explanation:  The requested property could not be found.  In the 
634. Directory, if a property does not contain a value then the 
635. property does not exist for the specific object.
636.  
637. Action:  This is probably a problem with either the public key or 
638. the remote ID.  Run DSREPAIR to verify remote server IDs.  If 
639. errors appear there, run this same option once more to verify 
640. remote server IDs.  If you get a -602 or -603 in DSREPAIR when 
641. verifying remote server IDs, call your Novell Authorized Service 
642. Center for support.  Be aware, however, that a public key cannot 
643. be repaired unless there is at least one server in the tree 
644. authenticating without problems to the target server.  The server 
645. authenticating OK to the target server must also have a real copy 
646. of the target server object, so it must have a replica (other 
647. than a subordinate reference) of the partition holding the
648. target server object.  If this is only a two server tree, the 
649. target server will need to be removed from the tree and 
650. reinstalled. 
651.  
652.  
653. -608 0xFFFFFDA0     FDA0   ILLEGAL_ATTRIBUTE            
654. Explanation:    An attempt was made to add a property that is 
655. illegal to an object.  The Directory Services schema determines 
656. what properties can be inherited by an object class.  (Refer to 
657. the Directory Services Schema documentation if available.)   
658.  
659. This error can also occur in mixed trees (4.0x and 4.10 servers 
660. in the same tree) or in upgraded trees (when 4.0x servers have 
661. been upgraded to 4.1) when a server does not have the correct 
662. schema.
663.  
664. Action: Run DSRepair on the server reporting the error, if the 
665. error persists, contact your Authorized Novell Reseller.
666.  
667.  
668. -609 0xFFFFFD9F     FD9F   MISSING_MANDATORY            
669. Explanation:    This error indicates that one or more of the 
670. mandatory properties for the object being created is missing.  
671. Each object Class in the Directory has a set of mandatory 
672. properties (properties that must contain a value before the 
673. object can be created). For example, a USER object in the
674. Directory is required to have a Common Name (CN) and a Surname.  
675. Without these properties the object will not be created.  A 
676. property exists only if there is a value supplied for the given 
677. property.
678.  
679. This error can also occur in mixed trees (4.0x and 4.10 servers 
680. in the same tree) when a server does not have the correct schema.
681.  
682. Action:  Do a SET DSTRACE=+SYNC at the file server console and 
683. then SET DSTRACE=*H to see the object causing the error.  If the 
684. object is not a server object, try deleting it.  In the case of a 
685. schema problem, run Global Schema Update from a 4.10 server.  If 
686. Global Schema Update does not correct the problem, down the 
687. server with the master replica of the partition showing errors 
688. and then bring it back up.  Upon startup, the server will force a 
689. schema update which usually corrects these schema problems.
690.  
691.  
692. -610 0xFFFFFD9E     FD9E   ILLEGAL_DS_NAME              
693. Explanation:    Illegal Directory Names are those which are too 
694. long (more than 255 characters) or ones which contain illegal 
695. character combinations.  The '\' character may be followed only 
696. by a '.' or '=' or '+' or '\'.
697.  
698.  
699. -611 0xFFFFFD9D     FD9D   ILLEGAL_CONTAINMENT     
700. Explanation:    The containment rules of the Directory specify 
701. where an object class may appear in relation to other objects in 
702. the Directory tree.  For example, the object Class Country can 
703. only be created at the top of the Directory, the object Class 
704. User can only be created under Organizations and Organizational 
705. Units.  The Schema enforces the containment rules for Directory 
706. Services.
707.  
708.  
709. -616 0xFFFFFD98     FD98   MAXIMUM_ENTRIES_EXIST
710. Explanation:  This error indicates that the maximum entries
711. (objects) for a single file server exist in the Directory tree. 
712. The maximum number of objects that can be created and maintained
713. on a single file server is FFFFFF (3 bits of FF) which equals
714. 16,777,220 decimal.  Some of these entries are used by the
715. Directory itself.
716.  
717. Action:  For the current version of the Directory, you have
718. reached the maximum number of objects that can be stored on that
719. file server.  To continue you will need to delete objects that
720. are no longer needed or partition the database.
721.  
722.  
723. -618 0xFFFFFD96    FD96   INCONSISTENT_DATABASE        
724. Explanation:  This error indicates that an error has been 
725. encountered in the database itself.  Usually this error means 
726. that the number of entries in a container does not match the 
727. number stored in the container's entry.   When this error occurs 
728. during synchronization, the target server has a corrupted 
729. database.
730.  
731. Action:  Run DSREPAIR ONLY ONCE.  If this error persists after
732. running DSREPAIR the first time, consult your Novell Authorized 
733. Service Center.  By running DSREPAIR a second time, the original 
734. OLD database files will be overwritten and it may not be possible 
735. to restore the information.
736.  
737.  
738.  
739.  
740. -621 0xFFFFFD93       FD93   TRANSACTIONS_DISABLED        
741. Explanation:  This error indicates that Transaction Tracking 
742. (TTS) has been disabled for the server on which the Directory 
743. operation is taking place.  When TTS is disabled, Directory 
744. Service operations which require modifying the database on that 
745. server are disabled as well. 
746.  
747. Action:  At the console prompt of the file server type "ENABLE 
748. TTS."  If TTS was disabled because the SYS volume is full, login 
749. to the file server, delete unnecessary files from the SYS volume, 
750. and type "ENABLE TTS" at the file server.   If you are unable to 
751. login to the file server, try running VREPAIR on volume SYS and 
752. selecting "purge deleted files" from the VREPAIR menu.  If there 
753. still is not enough space you will need to increase the size of 
754. the SYS volume hardware.
755.  
756.  
757. -625 0xFFFFFD8F     FD8F   TRANSPORT_FAILURE            
758. Explanation:  This error indicates the inability to communicate 
759. across the network either between a client and a server or 
760. between two servers.  This is a common error and generally 
761. indicates a failure of the LAN or WAN connections.  This error 
762. will also be seen when trying to communicate with servers having 
763. locked databases (i.e. DSREPAIR in operation).
764.  
765. Action: This error is almost ALWAYS a LAN issue.  Assuming that 
766. the rest of the network is operating properly check cabling, the 
767. LAN card, and the LAN driver of the server in question.
768.  
769. Type DISPLAY SERVERS on the source server to see if the target 
770. server is visible.  Attempt to RCONSOLE to the target server.  
771. Verify that other servers also showing a -625 error to the same 
772. target server.  Determine if workstations can attach and login to 
773. the target server from the same segment as the source server?
774.  
775. Type RESET ROUTERS and then type SET DSTRACE=*U at the source 
776. server to flag all servers as UP and retry communicating.
777.  
778. Occasionally a change of the server's name, a move of the
779. server object, or a change to the internal IPX number can also 
780. cause this error.  Run DSREPAIR with the option to repair network 
781. addresses on the source server to check the internal IPX number 
782. of the target server--the change may not have completed 
783. successfully.  
784.  
785. Check for SAP filtering of the DS SAP types of 26B and 278.    
786.  
787.  
788.  
789. -628 0xFFFFFD8C    FD8C   OBJECT_CLASS_VIOLATION    
790. Explanation: An object class violation has occurred.  This can 
791. happen when the source server's objects are unknown, but the 
792. objects are fine on the target server.
793.  
794. Action:.  Lock the databases to isolate the bad replica, then 
795. delete the bad replica and add it back again through Partition 
796. Manager (verifying first that the master is a good copy).
797.  
798.  
799. -632 0xFFFFFD88    FD88   SYSTEM_FAILURE          
800. Explanation:  This error indicates that unexpected results have 
801. occurred.  For example, the client requested that the Directory 
802. return a network address attribute and the Directory actually 
803. returned a public key attribute.  This condition may be 
804. temporary.  While the client usually returns errors in the
805. -301 to -399 range, the client as well as the server return this 
806. error during the authentication process.
807.  
808. When a server returns a -632 during synchronization, this may be 
809. because authentication could not complete due to an error in the 
810. public key--the key is the right key, but it is corrupt (not the 
811. right format). Because -632 is just a general error which means 
812. that the process being attempted failed it may be because the 
813. server(s) being contacted was busy, down, or that the source 
814. server could not authenticate to it.
815.  
816. Action:  Run DSREPAIR with the option to verify remote server IDs 
817. on every server in the replica list.  Repeat the same repair 
818. option.  If  the remote server id check returns  a -632 after 
819. running it the second time, call your Novell Authorized Service 
820. Center.  Otherwise, try to resolve the process which failed.
821.  
822.  
823. -634 0xFFFFFD86    FD86  NO_REFERRALS
824. Explanation:  This means that the target server does not have a 
825. copy of what the source server is requesting.  In other words, 
826. the source server has no objects which match the request and has 
827. no referrals on which to search for the object.
828.  
829. Action: This is not actually an error, but just a response.  It 
830. will usually resolve itself when synchronization is complete.
831.  
832.  
833. -635 0xFFFFFD85    FD85   REMOTE_FAILURE          
834. Explanation:  In order to complete some operations, a server will 
835. need to contact another server.  If this is not possible (due to 
836. a link being down, for example), this error will be returned.
837.  
838. Action: If the required links are operational the target server 
839. does not have the correct information about the source server.  
840. This is often caused by a problem with local to remote IDs or the 
841. server object.  Run DSREPAIR with the option to verify remote 
842. server IDs on every server in the replica list.  Repeat the same 
843. repair option.  Resolve any errors found after the second run of 
844. DSREPAIR.
845.  
846.  
847. -637 0XFFFFFD83  FD83   PREVIOUS_MOVE_IN_PROGRESS    
848. Explanation:  Once an object has been moved from one context in 
849. the Directory to another, the Directory will not allow that 
850. object to be moved again until all replicas of that object have 
851. been updated.   The length of time for a move to complete will 
852. vary--depending on the size of the replica, the number of 
853. replicas, and condition of the communication links between all 
854. the servers holding the replicas.  This error can also be caused 
855. by a moved object which lost the original object (the primary
856. obituary) or by a broken partition.
857.  
858. Action:  Leave the object in its current context until it can be 
859. moved again.  This may require that the object be left in its new 
860. context for several minutes. You might also check to see if all 
861. replicas have been synchronized. 
862.  
863. If the object still cannot be moved, load the 4.10 DSREPAIR with 
864. -m (LOAD DSREPAIR -M) and then run Repair Local Database.  View 
865. the DSREPAIR.LOG file which will display objects which have move 
866. obituaries.  Verify that the problem objects and all their 
867. attributes have successfully moved to the new location (by 
868. running NWAdmin or Netadmin and viewing the objects).  If so, 
869. contract your Novell Authorized Service Center.
870.  
871.  
872. -649 0xFFFFFD77    FD77   INSUFFICIENT_BUFFER
873. Explanation:  The server ran out of memory.  The operating system 
874. will self-correct this error.
875.  
876. Action:  Be patient.    See "Resolving Server Memory Problems" in 
877. Supervising the Network.
878.  
879.  
880. -654 0xFFFFFD72     FD72   PARTITION_BUSY               
881. Explanation:  Another partition operation is currently taking 
882. place.  For example, if a request has previously been issued to 
883. split a partition, a second request for a split (even at another 
884. point in the same partition) will result in this error.
885.  
886. Action:  This is a normal error immediately after a partition 
887. operation has been initiated.  If this error does not go away 
888. call your Novell Authorized Service Center.
889.  
890.  
891. -659 0xFFFFFD6D   FD6D   TIME_NOT_SYNCHRONIZED        
892. Explanation:  Directory Services uses time stamps to determine 
893. the order of events that take place in the Directory.  Time 
894. Synchronization services has been implemented to maintain a 
895. consistent time across the network.  Modification operations 
896. require the issuance of a time stamp.  If a replica on a
897. server has issued a time stamp and the time on that server is set 
898. back, in 4.0x no further modification operations may take place 
899. until the time on the server moves past the last modification 
900. time on the partition.  This applies only to operations that 
901. modify, not those that just read information.  In other
902. words, users will be able to login to the directory fine, but no 
903. objects can be edited through the utilities. 
904.  
905. In 4.1, the directory will issue synthetic time stamps on objects 
906. in order to allow them to be modified yet still not allow illegal 
907. time stamps.  The server console will display a synthetic time 
908. error when the server time is behind the DS time.   
909.  
910. Action:  Check for other errors first and resolve any you find. 
911. Then Repair Time stamps (found in the 4.10 DSREPAIR) which will 
912. reset the time stamps to the current server time.  The 4.0x 
913. equivalent of Repair Time stamps is Rebuild Replicas and is 
914. performed from Partition Manager.  This action will
915. delete the objects from all replicas except the Master and then 
916. recopy all objects from the Master copy to all other replicas.
917.  
918.  
919. CAUTION!  If the Master copy was corrupt in any way, that 
920. corruption will be propagated out to the other replicas when a 
921. Repair Time stamps or Rebuild Replicas action is performed.  
922. Repair Time stamps or Rebuild Replicas can also cause 
923. considerable traffic on the network.  You may have to do this on 
924. a partition by partition basis.
925.  
926.  
927. -663 0xFFFFFD69   FD69   DS_LOCKED                    
928. Explanation:  The Directory database is locked on the server.  
929. The server with the problem will often get an error trying to 
930. open the directory when mounting the SYS volume.  This error will 
931. occur when DSREPAIR is loaded on the server and repairing the 
932. database, when the hard drive on the server is going bad, and 
933. when a new 4.02 server install does not complete properly. 
934.  
935. Action:  Try running DSREPAIR on the server ONCE.  If DSREPAIR is 
936. run more than once, the .old database files are overwritten).   
937. If DSREPAIR doesn't fix the problem, try downing the server and 
938. bringing it back up again.   If DSREPAIR and downing the server 
939. do not fix this error, the server may need to be removed from the 
940. tree and reinstalled.  See the section on DSMAINT before 
941. performing this process.
942.  
943.  
944. -669 0xFFFFFD63   FD63   FAILED_AUTHENTICATION        
945. Explanation:  An invalid password was sent.  Authentication 
946. failed.  The most likely problems are either in the remote ID or 
947. the public key. 
948.  
949. Action:  Try running DSREPAIR with the option to verify remote 
950. server IDs on the source server and all other servers in the 
951. replica list.  If there are errors in the DSREPAIR.LOG file, run 
952. DSREPAIR with the option to verify remote server IDs once more on 
953. every server in the replica list.  This should correct
954. a problem with the remote ID being incorrect.  
955.  
956. If the source server is either using or looking at the wrong 
957. public key (the key is the right format, but is for the wrong 
958. object) the problem is the public key:
959.  
960. a)   If the source server has a REAL copy of the target server 
961. object (so if the source server has a Master, R/W, or R/O replica 
962. of the partition containing the target server object) then check 
963. to see if the other servers in that replica list (for the 
964. partition containing the target server object) are able to
965. authenticate to the target server.  If another server CAN 
966. authenticate successfully, then do a Send All Objects (see note 
967. on Send All Objects above) from the good server, or Receive All
968. Objects on the target server (but only if the server with the 
969. "good" copy has the Master).  Remember that Send All Objects 
970. generate a lot of traffic.  
971.  
972. If no servers can authenticate to the target server,  remove DS 
973. from the target server and reinstall it back into the tree or 
974. call your Novell Authorized Service Center for support.
975.  
976. b)   If the source server has a subordinate reference replica or 
977. no replica of the partition containing the target server object, 
978. then the external reference to that object will need to be 
979. re-backlinked.  Call your Novell Authorized Service Center for 
980. support.
981.  
982.  
983. -672 0xFFFFFD60   FD60   NO_ACCESS                    
984. Explanation:  The client does not have sufficient results to 
985. complete the requested operation.  Also, this error can indicate 
986. that the target server's replica list doesn't match the source 
987. server's replica list.  
988.  
989. Action:  Compare the replica ring information for all the servers 
990. in the replica list (available though Display Replica 
991. Information).  If you confirm that the target server doesn't have 
992. the source server in it's replica list, then either remove DS 
993. from the target server or call your Novell Authorized Service 
994. Center for support.  
995.  
996.  
997. -673 0xFFFFFD5F    FD5F   REPLICA_NOT_ON
998. Explanation:  The replica is in the process of  being created on 
999. a server.  Until all the object information has been received on 
1000. that server, the replica is "off" (not available for use by 
1001. Directory clients).
1002.  
1003. Action: This error will resolve itself when the process is 
1004. complete.  If it does not appear to resolve itself, look for an 
1005. error that is preventing the replica from turning "on" and 
1006. address that problem.
1007.  
1008.  
1009.  
1010. -699 0xFFFFFD45   FD45   FATAL                        
1011. Explanation:  An unrecoverable error has occurred and the 
1012. operation cannot be completed. 
1013.  
1014. Action: Because this error can be caused by different problems it 
1015. is not possible to provide a simple solution. Call your Novell 
1016. Authorized Service Center for support.  
1017.  
1018.  
1019.  
1020. ERRORS NOT LISTED
1021.  
1022. If an error is not referenced here, please consult the complete 
1023. Error Codes document available from NetWire, on CompuServe.  The 
1024. file is located in NovLib 14, the file name changes periodically 
1025. to reflect updates to documents contained within the archive.  
1026. The basic filename is TNDS#.EXE where # is a number from 2 to 9, 
1027. then A through Z.  (For example: TNDS1.EXE was replaced by 
1028. TNDS2.EXE due to updates made to documents within the file.)  
1029. TNDS2.EXE was publicly available at the time this document was 
1030. prepared.
1031.  
1032.  
1033.  
1034.  
1035. VII.  SOME FREQUENTLY ASKED NDS QUESTIONS.
1036.  
1037. 1.  What is error -631 when trying to SET BINDERY CONTEXT on
1038. server?
1039.  
1040. Be sure that a partition replica containing the context to be
1041. bindery emulated exists on this server.
1042.  
1043.  
1044. 2.  What is the message "Synthetic time is being issued on
1045. partition..."?
1046.  
1047. In NetWare 4.10 synthetic time will be issued at a server with 
1048. the error "DS- 4.63-12" if the server time is set backwards. The
1049. synthetic time will be cycled every 2 minutes until the server
1050. time is after the last modified timestamp.  You may fix the 
1051. problem from DSREPAIR by selecting Advanced Options, Replica and 
1052. Partition Operations.  Next select the partition you want to 
1053. update and then select Repair Time stamps and declare a new 
1054. epoch. 
1055.  
1056.  
1057. 3.  Users are being logged out at wrong times and/or time
1058. restrictions are being shown incorrectly.
1059.  
1060. Be sure that the workstation TZ variable is set.  You may do this
1061. in the workstation AUTOEXEC.BAT file by adding the line    SET
1062. TZ=timezone or perform the task in the login script by adding the
1063. line   DOS SET TZ="timezone"
1064.  
1065.  
1066.  
1067. 4. Where can I find a complete list of NDS error codes?  
1068.  
1069. These can be obtained from the file TNDSx.EXE in library 14 of
1070. the NOVLIB forum on NetWire. (Where x is the version number - see
1071. above).
1072.  
1073.