Обновление контроллера домена при большом количестве записей в контейнере

При обновлении контроллера домена (КД) в случаях, когда в одном контейнере (например, ou=users) содержится большое количество записей, может возникать ошибка: ADMINLIMIT_EXCEEDED

Причина возникновения связана с ограничениями параметров nsslapd-idlistscanlimit и nsslapd-lookthroughlimit в службе каталогов. Если количество записей превышает установленные лимиты, процесс обновления КД может завершиться с ошибкой.

Для корректного выполнения обновления КД необходимо временно отключить данные лимиты, установив для них значение -1 (без ограничений), а после завершения обновления вернуть исходные значения.

Команды выполняются от имени пользователя root.

1. Необходимо отобразить текущие настройки параметров:

dsconf ALD-COMPANY-LAN backend config get

после чего сохранить текущие значения параметров: nsslapd-idlistscanlimit и nsslapd-lookthroughlimit.

2. Временно отключить лимиты:

dsconf ALD-COMPANY-LAN backend config set --idlistscanlimit=-1
dsconf ALD-COMPANY-LAN backend config set --lookthroughlimit=-1

3. Выполнить обновление контроллера домена.

4. После успешного завершения обновления восстановить исходные значения параметров, сохраненные на шаге 1:

dsconf ALD-COMPANY-LAN backend config set --idlistscanlimit=<исходное_значение>
dsconf ALD-COMPANY-LAN backend config set --lookthroughlimit=<исходное_значение>