密碼同步處理流程

以下是將 Windows 使用者在 Active Directory 中的新密碼推送至「人員」文件中的 HTTP 密碼欄位,以及推送至 ID 儲存庫中的 Notes ID 所採取的步驟。

這是從 Active Directory 到 Domino 的單向程序。Domino 中的密碼變更無法推送至 Active Directory。

在 Active Directory 網域控制器上採取的步驟

  1. 在網域控制器上執行的「本端安全權限 (LSA)」程序會收到 Windows 密碼變更要求,並在 Active Directory 中處理它。
  2. LSA 會將使用者名稱及新密碼傳遞至在網域控制器上執行的 Domino 密碼庫。
  3. Domino 密碼庫會在 Active Directory 中尋找使用者的 objectGUID 值,並使用目錄協助來查閱 Domino 名錄中的 objectGUID 值。如果找不到該值,則處理將停止。
  4. 如果在 Domino 名錄中找到 objectGUID 值,則 Domino 密碼庫會在其本端「密碼變更要求」資料庫中建立文件。文件包含 objectGUID 及密碼,系統會安全地儲存它們。
  5. Domino 密碼庫會定期檢查「密碼變更要求」資料庫中是否有新的要求。當找到這些要求時,它會搜索其儲存的「要求處理器」伺服器清單,並循序嘗試開啟每部伺服器上的密碼要求儲存體資料庫,直到能夠開啟一個為止。
  6. Domino 密碼庫會將儲存體資料庫中找到的每一個要求複製到「要求處理器」伺服器上的儲存體資料庫。然後,它會將文件從其本端資料庫中刪除。如果無法在任何「要求處理器」伺服器上開啟資料庫,新文件仍會留在本端「密碼變更要求」資料庫中,而且密碼庫會繼續嘗試傳輸任何要求。如果它無法在要求到期時間欄位(位於其使用的「配置設定」文件)中指定的時間內複製要求,則會刪除要求文件。

Domino 要求處理器所採取的步驟

  1. Domino 網域中的「要求處理器」伺服器會定期檢查其「密碼變更要求」資料庫中是否有未處理的要求。當伺服器發現密碼變更要求時,它會使用要求中的 objectGUID 值,查閱 Domino 名錄中的使用者。如果查閱失敗,則會刪除要求文件。
  2. 如果將「要求處理器」伺服器配置為同步 HTTP 密碼,則它會變更使用者「人員」文件中的 HTTP 密碼,而此文件位於管理伺服器上的 Domino 名錄中。如果管理伺服器無法使用,伺服器會定期重試提交要求。如果它無法在要求到期時間欄位(位於其使用的「配置設定」文件)中指定的時間內提交要求,則會刪除要求文件。如果 HTTP 密碼變更失敗,則在下列步驟中不會變更 Notes ID 密碼。
  3. 如果將「要求處理器」伺服器配置為同步 ID 儲存庫中的 Notes ID 密碼,則它會重設 ID 儲存庫中的 Notes ID 密碼。如果 Notes ID 密碼變更失敗,則會回復任何 HTTP 密碼變更。