ID 儲存庫如何運作

本主題說明一般儲存庫作業。

ID 第一次如何上傳至儲存庫

如果使用者 ID 的上層發證者已發出「儲存庫信任憑證」,認證其信任儲存庫,以及如果相關聯的使用者的有效原則具有一份指定儲存庫名稱的「安全性設定」文件,則使用者 ID 可以上傳至儲存庫。

如果正在註冊的新使用者符合這些條件,則使用者註冊的程序會將 ID 上傳至儲存庫。第一次使用者鑑別起始伺服器時,Notes® 設定會將 ID 檔案複製到 Notes® 用戶端,如同它對非儲存庫使用者所做的一樣。

註: 如果您不想將使用者 ID 的副本保存在 Domino® 名錄中,請清除「進階 > ID 檔案」,註冊設定「儲存使用者 ID 的位置 > 在 Domino 名錄中」(依預設會選取這個設定)。

如果現有使用者符合前述條件,則使用者 ID 的副本即會自動從 Notes® 用戶端上傳至儲存庫。

Notes® 用戶端上的 ID 副本如何與儲存庫副本保持同步化

當使用者變更 Notes® 用戶端上的 ID 時(例如變更密碼或新增網際網路憑證),需要將變更抄寫到儲存庫中的 ID 副本。對儲存庫中的 ID 副本進行變更時(例如重設密碼),需要將變更抄寫到 Notes® 用戶端。

若要使 ID 的本端副本與儲存庫副本同步化,用戶端會要求其起始伺服器,取得具有儲存庫抄本的伺服器清單。如果無法使用起始伺服器,或未執行 8.5 版或更新的版本,則用戶端會搜尋起始伺服器叢集中的伺服器,以提供清單。伺服器會傳回隨機次序的清單,以在儲存庫伺服器之間進行負載平衡同步化。用戶端會嘗試已傳回清單中的每一個儲存庫伺服器,直到某部伺服器滿足其要求。為了取得更好的效能,用戶端會快取第一個回應的儲存庫伺服器的位置。這個快取會定期清除,以確保維持負載平衡。

當使用者變更用戶端上的 ID 檔案、切換 ID,或在密碼重設之後提供新密碼時,用戶端會立即嘗試同步化。否則,將發生如下的同步化:

  • 用戶端定期檢查有無變更,通常每隔八小時。為了阻止在早上用戶端啟動期間儲存庫伺服器的大量需求,用戶端會在用戶端開始啟動的第一個八小時內,隨機進行其第一個檢查。
  • 如果嘗試檢查或同步化失敗,比方說,如果用戶端無法連接至伺服器,則在五分鐘間隔內最多可以進行三次重試。如果仍然不成功,則會在下一個八小時檢查間隔還原檢查。
  • 若要確保經常啟動及停止的用戶端會定期檢查儲存庫,如果用戶端已啟動及停止三次,而且自從檢查是否需要同步化後,已超過 24 小時,則在啟動之後,它會檢查大約 5 分鐘。

如何跨多個 ID 副本同步化新密碼

在任何位置 (在儲存庫中或在用戶端上) 變更使用者 ID 上的密碼時,只要用戶端可以連接至網路,以與儲存庫同步化,使用者便可從任何用戶端提供新密碼。使用者不必變更每一個用戶端工作站副本上的密碼,或將 ID 檔案從某個用戶端工作站移至另一個用戶端工作站。如果用戶端沒有網路連線,則使用者可以繼續使用舊密碼,直到可以使用連線。

ID 還原對儲存庫中的 ID 如何運作

如果已刪除使用者電腦上的 ID 檔案,則 ID 的副本會從儲存庫下載至 Notes® 用戶端。下次使用者在用戶端連接至網路時嘗試透過 Notes® 存取 ID 檔案,即會發生此還原程序。

共用登入啟用的 ID 如何使用儲存庫

共用登入啟用的使用者 ID 可以儲存在儲存庫中。在此情況下,對於非共用登入啟用的 ID,將使用不同的步驟來還原 ID 或回應被偷 ID。

ID 檔案還原:如果從使用者電腦刪除共用登入啟用的 ID,或變更其本端檔案名稱,則必須在儲存庫的 ID 副本上重設 Notes® 密碼。重設之後,將出現下列動作:

  1. 下次啟動 Notes® 時,將提示使用者輸入新密碼。
  2. 在使用者提供新密碼之後,ID 檔案的副本會從儲存庫下載至用戶端。
  3. 下載之後,如果使用者原則需要使用共用登入,則會對共用登入重新啟用本端 ID,而且不再提示使用者輸入密碼。如果使用者原則讓使用共用登入變成選用,則使用者必須透過「使用者安全性」視窗來重新啟用功能。

回應遭竊 ID:如果懷疑非共用登入啟用的 ID 遭竊,正確回應為重設 ID 上的密碼、換用 ID 上的金錀,並確定已啟用伺服器金鑰檢查。這些步驟可以防止未獲授權的人員使用被偷 ID,因為他們不知道從儲存庫中 ID 副本取得新金鑰所需的新密碼。

共用登入啟用的 ID 是不同的,因為是由本端 ID 檔案中的密碼進行保護,而不是利用儲存庫瞭解的 Notes® 密碼。ID 只能用在已啟用共用登入的電腦。如果電腦的已啟用共用登入 ID 遭竊,請執行下列步驟:停用使用者原則中的共用登入、強制原則抄寫到所有儲存庫伺服器、依您要對非共用登入啟用的 ID 所做回應(重設密碼、換用金鑰、啟用伺服器金鑰檢查),然後在使用者原則中重新啟用共用登入。

ID 重新命名及金鑰換用如何使用儲存庫

具有儲存庫ID 且透過「使用者安全性」視窗要求名稱變更的使用者不會給與核准變更的選項。在「接受名稱變更之前要求您的核准」選項無法使用,而且在伺服器上偵測到名稱變更時,一律會在用戶端/儲存庫同步化期間,自動在用戶端 ID 副本上進行變更。

具有儲存庫ID 的使用者無法透過「使用者安全性」視窗要求金鑰換用;只有管理員可以透過原則配置來起始金鑰換用。在伺服器上偵測到金鑰換用時,用戶端 ID 副本上的金鑰換用會在用戶端-儲存庫同步化期間自動發生;永不提示使用者接受新金鑰。

註: 如果正在進行 ID 的金鑰換用,請不要啟用儲存庫的使用,直到金鑰換用完成。此外,當儲存庫使用中時,也會一律註冊 ID 金鑰大小符合其有效原則的新使用者。