创建为目录同步启用的“目录辅助”文档

配置目录同步的第一步是在目录辅助数据库中创建启用目录同步的“目录辅助”文档。

开始之前

此过程假设您已完成以下步骤:
注: 如果您使用的是目录辅助数据库,请使用随 Domino® 11 提供的 da.ntf 模板替换其设计。例如,从 Notes® 中打开此数据库,选择文件 > 应用程序 > 替换设计

关于此任务

此过程仅描述目录辅助文档中适用于目录同步的字段。

过程

  1. 使用 ldpsearch 客户机或一些其他工具,测试 HCL Domino® 服务器是否能连接到 Active Directory 服务器。
  2. Domino® Administrator 中,选择文件 > 打开服务器以打开域的 Domino® 管理服务器。单击确定
  3. 单击配置选项卡。
  4. 在导航窗格中,展开目录 > 目录辅助。如果看到 Server Error: File does not exist,说明管理服务器未设置为使用目录辅助数据库。
  5. 单击添加目录辅助
  6. 基本选项卡中,填写下列字段:
    1. “基本”选项卡

    字段

    Enter 键

    域类型

    选择 LDAP

    域名

    所选的域名,此域名不同于为目录辅助数据库中其他任何“目录辅助”文档(HCL Notes®或 LDAP)所指定的域名。例如, Renovations AD

    使此域适用于

    选择目录同步
    注: 请勿选择 Notes 客户机和因特网认证/授权LDAP 客户机
    除非您还将 LDAP 目录用于这些目的。

    组授权

    选择

    启用

    选择

    注: 也可以在目录辅助数据库的主视图上启用或禁用此目录的目录辅助。选择此目录的目录辅助记录,然后在工具栏上单击“启用/禁用”按钮。
  7. (可选)在命名上下文(规则)选项卡上,针对要为目录定义的每个规则,填写以下字段。有关命名规则的更多信息,请参阅目录辅助和命名规则
    2. “命名上下文(规则)”选项卡

    字段

    Enter 键

    N.C. #

    描述 LDAP 目录中的用户名的命名上下文(规则)。

    启用

    选择以下某个选项:

    • ,启用规则
    • (缺省值),禁用规则

    按凭证信任

    选择以下某个选项:

    • ,允许服务器使用 LDAP 目录中的凭证,对目录中其专有名称符合规则的因特网客户机进行认证。如果要将 Active Directory 用户或组添加到通过 HTTP 访问的 Notes 数据库的 ACL 中,请选择“是”。
    • (缺省值),禁止服务器使用此目录对其专有名称符合规则的因特网客户机进行认证。
  8. 在 LDAP 选项卡中,填写下列字段:
    3. LDAP 选项卡

    字段

    Enter 键

    “LDAP 配置”部分

    主机名

    Active Directory 服务器的主机名,例如 ad.renovations.comDomino® 服务器使用此主机名连接到目录服务器。

    单击建议可查找 NDS 中列出的 LDAP 服务器的主机名。

    单击验证可验证某个主机名是否是活动的 LDAP 服务器。

    或者

    输入其他主机名,这样如果指定的第一个主机名所代表的目录服务器不可用,Domino® 服务器可以使用备用 LDAP 目录服务器。主机名之间要用逗号或分号隔开,或通过在每个新行上输入一个主机名的方式隔开。

    如果指定了多个目录服务器,且每个目录服务器都侦听不同的端口,请在主机名后指定端口。例如:
    ad1.renovations.com:390, ad2.renovations.com:391

    在此字段中输入的端口值会覆盖在端口字段中指定的值。如果未在此字段中指定端口,那么将使用端口字段中指定的值。

    LDAP 供应商

    选择 Active Directory

    用于搜索的可选认证凭证

    对于可选认证凭证,输入 Domino® 服务器在连接到 Active Directory 服务器时要提供的用户名和密码。Active Directory 服务器使用此名称和密码来认证 Domino® 服务器。如果未指定名称和密码,Domino® 服务器将尝试匿名连接。

    单击验证可验证输入的用户名和密码是否在每个主机名上有效。

    此设置可能会影响 LDAP 服务器的更改检测。

    用于搜索的基本 DN

    搜索条件(如果 LDAP 目录服务器需要)。例如:

    o=Renovations
    o=Renovations,c=US

    单击建议可根据可能的搜索条件来搜索每个主机名。

    单击验证可使用配置的凭证来验证搜索条件是否在每个主机名上都可进行访问。

    此设置可能会影响 LDAP 服务器的更改检测。

    “连接配置”部分

    通道加密

    选择以下某个选项:

    • TLS(缺省),当 Domino® 服务器连接到 Active Directory 服务器时使用 TLS
    • ,禁止使用 TLS。

    如果选择了 TLS,请在下列相关字段中做出选择:

    • 接受已过期的 TLS 证书
    • TLS 协议版本
    • 使用远程服务器的证书验证服务器名称

    端口

    Domino® 服务器用于连接到 Active Directory 服务器的端口号。

    • 如果在通道加密字段中选择 TLS,那么缺省端口为 636。
    • 如果在通道加密字段中选择,那么缺省端口为 389。

    如果目录服务器未使用这些缺省端口,请手动输入不同的端口号。

    “高级选项”部分

    超时

    允许搜索目录的最长时间(秒);缺省值为 60 秒。

    如果 Active Directory 服务器也配置了超时值,则以较小值为准。

    返回的最大条目数

    Active Directory 服务器可以为 Domino® 服务器搜索的名称返回的最大条目数。如果目录服务器也有最大值设定,则以较小值为准。如果目录服务器超时,将返回到该时刻为止所找到的名称的数目。

    缺省值为 100。

    搜索时的别名取消引用

    选择以下某个选项以控制搜索目录时的别名解除引用范围:

    • 从不废弃
    • 仅允许下级条目
    • 仅允许搜索基本条目
    • 总是(缺省值)

    如果目录中未使用别名,那么选择从不可以提高搜索性能。

    首选邮件格式

    选择因特网邮件地址
    启用名称映射 请勿选择。

    要使用的搜索过滤器类型

    选择 Active Directory

  9. 单击保存并关闭
  10. Domino® 管理服务器的服务器控制台中,运行以下命令以确认正确设置了“目录辅助”文档中的“目录同步”配置:
    show xdir
    您将看到带有字符串 SYNC 的控制台输出,类似于以下示例:
    Console with SYNC output