Windows2008R2下安装及配置ADSync服务

23ed

Windows2008R2下安装及配置ADSync服务
目前企业应用最多的邮件系统有两种；一个为Microsoft Exchange、一个就是IBM的Dominoo Lotus；Exchange server是跟AD做集成的，也就是说，公司环境内有域环境的应用Exchange最合适了，这样企业内部的应用系统及邮箱用户通过 域账户做为验证，简单的 说内部应用系统和邮箱系统使用一个目录（AD）进行验证，管理起来比较方便，当然另外一个问题也随之产生，那就是如果使用Exchange邮件系统，费用比较高，因为如果企业大的话收费太高了，据了解使用Exchange邮件系统是按照客户端收费的，如果企业内的人数众多的话，如果以5000人算，企业每年都会给Microsoft将近300W的服务费，所以一般的企业会放弃使用Exchange邮件系统。
再说说IBM Lotus邮件系统，现在升级的也比较快，目前都有Domino 9了，不管从界面、功能、兼容性上来说都有一定的提升，IBM Lotus软件是一个开源软件，可以根据自己的需求开发自己所希望的功能及应用；IBM Lotus软件收费低，但服务贵（技术热线），一次性购买软件使用后期不用为软件续费，除非购买服务，一般企业用简单服务的话就不必考虑这么多了，购买软件后自己开发应用功能，但是该软件也有个致命的问题，就是跟域不集成（Lotus有自己的目录系统），意思就是说，如果企业内有域环境，这样就会产生两套不同的目录系统，域系统一套密码、邮箱系统一套密码，使用起来比较繁琐。为了解决这个问题，IBM也推出了一个软件TIM（Tivoli Identity Manager），该软件是收费的，应用也是收费的，是按照客户端收费的，那该软件有什么用呢，简单的说就是解决AD跟Lotus的集成问题，使得AD内的数据跟Domino下的数据同步，比如用户zhangsan的密码更改后，会同步到Domino下对应的zhangsan用户下；还可以做到在AD内创建用户可以自行在Domino下创建用户。该软件收费也挺高的，近RMB：6800圆，但是买了这个软件后不会使用，需要买服务等，定制完服务IBM会自行开发功能，然后按照客户端收费，如果按照1000人算的话,并且让IBM提供部署手册及技术援助需要14W，所以收费还是比较高的，所以这个方法也放弃了。
作为管理员，通常需要为同一用户分别创建windows账户、domino账户，无疑加大了维护的不便。现在Lotus Domino中包括的一个工具（Lotus Domino Active Directory Synchronization 工具）可使Domino和Active Directory之间进行同步，ADSync 允许管理员来保持 Domino Directory 和 Active Directory 用户和组的同步。管理员可以注册、同步属性和密码，而且在 Active Directory 中对用户和组执行重命名和删除操作时，还会在 Domino Directory 中执行同样的操作，反之亦然。其特性包括两个目录之间的容器映射和属性映射，以及注册用户时所使用的策略。它的设置和用法很简单，但是仍存在需要考虑的问题。具体咱们一块体验一下；  

操作	从 Active Directory 平台	从 Lotus Domino 平台
注册用户	可以	可以
重命名在 Active Directory 中创建的用户	只能重命名 Active Directory 用户	只能重命名 Active Directory 用户
重命名在 Lotus Domino 中创建的用户	可以	可以
同步用户数据	可以	不可以
删除用户	可以	可以
创建组	可以	不可以
重命名组	可以	不可以
同步组数据	使用 Active Directory 中所定义的成员关系来重写 Domino Directory Members 字段	不可以
删除组	不可以	可以
批量导入现有用户密码	不可以	不可以

环境介绍
Hostname：gavin-dc
Ip:192.168.221.254
Os:windows2008R2
Roles:AD DNS DHCP ADSync
Hostname：gavin-domino
Ip:192.168.221.10
Os:windows2008R2
Roles:domino server
Version：Domino 8.5.1
1．我们首先要在DC(Active Directory)上安装ADSync工具。该工具集成在Domino Lotus client admin的安装包下；我们首先双击运行Lotus client安装包，并且安装在D盘下；

ADSync 作为安装选项包含在 IBM Lotus Domino Administrator 客户机中
在 IBM Lotus Notes 安装向导的 Custom Setup 窗口中，选择 Domino Administrator 选项以及 Domino Directory W2000 Sync Services 子选项。

开始安装。

集成ADSync工具到域控制器
ADSync 由一个 DLL 文件（nadsync.dll）组成。在 Windows 平台上安装 ADSync 时，首先进入Lotusotes安装目录，执行以下命令：Regsvr32 nadsync.dll ，检查是否存在NTSync45.nsf数据库（位于：:Lotusotesdata目录
我们注册的时候提示拒绝访问，应该是权限不够；
所以我又将安装目录下的磁盘权限给了everyone可读可写，再次运行还是不行，所以在网上就找相关的case，终于找到了，需要修改注册表的权限，具体见下；

运行regedit打开注册表编辑器；HKEY_LOCAL_MACHINE----SOFTWARE----Wow6432Hode—Microsoft---MMC—SnapIns---E255E538-1C2E-1100-8C37-00C04FI0FE93
修改目录下的权限



修改两个目录的权限


勾选—SYSTEM、ADministrators的完全控制权限


更改所有者为---administrators


同样勾选SYSTEM、Administrators的完全控制权限那









因为修改完注册表系统重启后才能生效，所以我们重启系统后，运行regssvr32 nadsync.dll重新注册；注册成功

接下来就是安装windows2003 administrator park工具（该工具在windows2003安装光盘的，tools下，该步骤跳过哦），安装完后重启系统，我们可以打开Active Directory用户和计算机可以看见Lotus 管理工具

在配置Domino目录同步前，我们需要跟Domino server进行连接；不然无法配置Domino目录的同步选项；
创建连接器；不然notes及adsync提示找不到服务器路径
因为在安装ADSync工具的时候需要指定一个用户，所以我注册了sam用户
打开sam的联系人

单击高级

选择连接-----新建

基本---填写服务器名称：gavin-mail/gavin
使用lan端口----勾选TCPIP

高级标签下：目的服务器地址：也可以写Ip也可以写服务器的hostname（gavin-mail/gavin）

创建完连接后，开始配置
可以根据自己的需求启用同步内容

同时也可以修改注册服务器及管理标示
同事修改验证策略及注册策略


选择映射关系，因为我只要同步密码就行；
所以在AD下对应的内容找到Userpassword,然后在Domino目录下找到HTTP密码强制更改


修改AD容器下所对应的策略，该策略是显著策略，所以可以选择；
如果是全局策略，无法分配策略

此时，我们AD及Domino下同时注册了zhangsan用户；
然后重置域用户zhangsan的密码；

我们希望domino目录下的zhangsan用户密码也随之更改；所以选择zhangsan----右击----与Domino同步

然后输入公用需要同步的密码

同步完成步完成
通过同步的公用密码登陆

whitek

死亡教会人一切，如同考试之后公布的结果——虽然恍然大悟，但为时晚矣~！

十二12

俺从不写措字，但俺写通假字!

常青树

支持一下:lol

jonvi

穿别人的鞋，走自己的路，让他们找去吧。

www.isodian.com

请不要拥抱我、我的心是凉的，别再说对不起。

重温战场

提笔写忧伤。落笔映惆怅丶