当客户环境中已存在Microsoft Active Directory(简称AD),而且依赖于AD已有许多应用。客户要求使用AD现有用户登录至Domino中。
从AD中通过Domino ADSYNC服务同步至Domino中时,请注意以下:
不能自动进行同步,每次同步信息需要管理员干涉;
不能同步密码
同步信息中不会有等价名属性,某些应用需要用户名Notes英文名(如:admin/ACME)和中文等价名(如:管理员/ACME);
如果AD中名(FirstName)和姓(LastName)为中文时,同步至Domino后,为中文,如:在AD中
|
AD中 |
同步后Domino中 |
用户名: |
张三 |
三 张/ACME |
登录名: |
squallzhong |
Squallzhong |
姓: |
张 |
张 |
名: |
三 |
三 |
根据以上所示,经过同步自成出来的邮件文件为三张.nsf,同步后的用户CN为三 张。同步过来的信息有可能对产品中现有应用模块的程序造成影响,请慎重。
如果AD中有以上描述情况,建议不使用Domino ADSYNC同步信息;将AD中的用户导出至电子表格,再注册为DOMINO用户;再给每个Domino用户添加AD帐户即可。这类情况则不需要配置Domino Active Directory同步,可跳过3.2-3.5
以下配置实例为Domino Server和IIS在同一台服务器上
服务器至少两台
服务器基本配置
平台 |
Microsoft Windows 2003 |
支持操作系统 |
Microsoft Windows 2000 Server Standard Edition; Microsoft Windows 2000 Server Enterprise Edition; Microsoft Windows 2003 Server Standard Edition; Microsoft Windows 2003 Server Enterprise Edition; Microsoft Windows 2003 Server x64 Edition |
处理器支持 |
Intel Pentiuma或更高(32位和64位) |
内存 |
1 GB minimum 1 GB or more recommended per CPU |
磁盘空间 |
1.5 GB以上/分区 |
交换空间 |
建议:物理内存x2 |
显示器 |
彩色显示器 |
具体步骤请参见:Domino R8.0.x安装 for Windows
打开命令提示符。从 Notes 安装目录,键入:
regsvr32 nadsync.dll
此时将出现一个消息框,指出注册已完成。此过程可能需要一分钟。如下图:
要使用 ADSync,必须至少有一个策略。 打开Domino Administrator,连接至Domino服务器;如下图:
设置好后,单击“保存并关闭”,如下图:
单击“保存并关闭”即可。
从“开始”菜单中,单击“程序”“管理工具”“Active Directory 用户和计算机”。单击“Lotus Domino 选项”文件夹,用鼠标右键单击“Domino 目录同步”,然后选择“选项”,如下图:
点击“选项”后,出现如下图:
输入密码后,进行初始化。初始化成功后,出现以下提示:
点击“确定”后,出现以下对话框:
IIS安装比较简单,不在此详细描述,相关文章大家可以在网上搜索得到。修改
服务器配置文档相关修改值
项目 |
值 |
WEB端口 |
81 |
会话验证 |
单服务器 |
此服务器是否使用IIS |
是 |
协议 |
http |
主机名称 |
Apps.acme.com |
端口号 |
80 |
重启服务器即可。
如全限主机名:oa.acme.com,端口:81
注:如果IIS与DOMINO服务器在同一台服务器时,DOMINO服务器不能使用80端口,只能使用其他端口。80端口必须给IIS使用。
启动IIS管理工具,如下图:
添加WEB服务扩展,如下图:
添加“ISAPI筛选器”,在左边树,“网站”处,点击右键,选择“属性”;点击“ISAPI筛选器”标签,再点击“添加…”,如下图:
点击“确定”后,即可。
点击“目录安全性”标签,点击“身份验证和访问控制”区段中的“编辑”按钮,如下图:
取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。
设置主目录,如下图:
主目录的本地路径:%DominoDataPath%\domino\html目录;
将C:\WebSphere\AppServer\etc目录下的default.htm拷贝至主目录下。
在默认网站中创建一个虚拟目录,名称为:sePlugins,如下图:
sePlugins权限如下:
取消“启用匿名访问”,确认“集成Windows身份验证”已选中,点击“确定”即可。
Notes.ini文件在%DominoPath%目录下(分区服务器在%DominoData%目录下);使用记事本打开此文件,在最后一行添加以下参数:
HTTPEnableConnectorHeaders=1
需要使用AD帐户登录OA的用户,需要在对应的Domino地址本中个人文档的用户名域中添加域帐号,格式为<域>\登录名,如下图:
点击“在Domino中注册…”,出现以下图:
点击“立即注册”,出现以下图:
选择验证者标识路径,并输入验证者密码后,点击“确认”。
注:此操作仅限于在AD中已存在用户,但在Domino中并未存在的用户。
设置好AD帐户的用户信息和密码后,点击“下一步”出现以下图:
点击“下一步”完成,即可完成注册
http://iis.acme.com
返回IIS缺省页面
http://iis.acme.com/homepage.nsf
返回Domino缺省页面
以上如果能正常返回,则说明配置成功。
运行以下命令:
cscript.exe adsutil.vbs set W3SVC/AppPools/Enable32BitAppOnWin64 1
此问题,请确认IIS根目录是否有执行权限,sePlugins是否有读取权限,具体设置请参考2.9
出现以上错误时,请查看Windows2003日志具体信息,如下图:
说明ISAPI加载失败,如下图:
出现以上原因是相关插件与平台不符合所致。
点击受信任的站点的“自定义级别…”,修改用户验证登录选项。如下图: