Windows 2008 R2下安裝及配置ADSync服務(wù)

1、Windows 2008 R2下安裝及配置ADSync服務(wù)目前企業(yè)應(yīng)用最多的郵件系統(tǒng)有兩種；一個(gè)為Microsoft Exchange、一個(gè)就是IBM的Dominoo Lotus；Exchange server是跟AD做集成的，也就是說，公司環(huán)境內(nèi)有域環(huán)境的應(yīng)用Exchange最合適了，這樣企業(yè)內(nèi)部的應(yīng)用系統(tǒng)及郵箱用戶通過 域賬戶做為驗(yàn)證，簡單的 說內(nèi)部應(yīng)用系統(tǒng)和郵箱系統(tǒng)使用一個(gè)目錄（AD）進(jìn)行驗(yàn)證，管理起來比較方便，當(dāng)然另外一個(gè)問題也隨之產(chǎn)生，那就是如果使用Exchange郵件系統(tǒng)，費(fèi)用比較高，因?yàn)槿绻髽I(yè)大的話收費(fèi)太高了，據(jù)了解使用Exchange郵件系統(tǒng)是按照客戶端收費(fèi)的，如果企業(yè)內(nèi)的人

2、數(shù)眾多的話，如果以5000人算，企業(yè)每年都會(huì)給Microsoft將近300W的服務(wù)費(fèi)，所以一般的企業(yè)會(huì)放棄使用Exchange郵件系統(tǒng)。再說說IBM Lotus郵件系統(tǒng)，現(xiàn)在升級的也比較快，目前都有Domino 9了，不管從界面、功能、兼容性上來說都有一定的提升，IBM Lotus軟件是一個(gè)開源軟件，可以根據(jù)自己的需求開發(fā)自己所希望的功能及應(yīng)用；IBM Lotus軟件收費(fèi)低，但服務(wù)貴（技術(shù)熱線），一次性購買軟件使用后期不用為軟件續(xù)費(fèi)，除非購買服務(wù)，一般企業(yè)用簡單服務(wù)的話就不必考慮這么多了，購買軟件后自己開發(fā)應(yīng)用功能，但是該軟件也有個(gè)致命的問題，就是跟域不集成（Lotus有自己的目錄系統(tǒng)），意思

3、就是說，如果企業(yè)內(nèi)有域環(huán)境，這樣就會(huì)產(chǎn)生兩套不同的目錄系統(tǒng)，域系統(tǒng)一套密碼、郵箱系統(tǒng)一套密碼，使用起來比較繁瑣。為了解決這個(gè)問題，IBM也推出了一個(gè)軟件TIM（Tivoli Identity Manager），該軟件是收費(fèi)的，應(yīng)用也是收費(fèi)的，是按照客戶端收費(fèi)的，那該軟件有什么用呢，簡單的說就是解決AD跟Lotus的集成問題，使得AD內(nèi)的數(shù)據(jù)跟Domino下的數(shù)據(jù)同步，比如用戶zhangsan的密碼更改后，會(huì)同步到Domino下對應(yīng)的zhangsan用戶下；還可以做到在AD內(nèi)創(chuàng)建用戶可以自行在Domino下創(chuàng)建用戶。該軟件收費(fèi)也挺高的，近RMB：6800圓，但是買了這個(gè)軟件后不會(huì)使用，需要買服務(wù)

4、等，定制完服務(wù)IBM會(huì)自行開發(fā)功能，然后按照客戶端收費(fèi)，如果按照1000人算的話,并且讓IBM提供部署手冊及技術(shù)援助需要14W，所以收費(fèi)還是比較高的，所以這個(gè)方法也放棄了。作為管理員，通常需要為同一用戶分別創(chuàng)建windows賬戶、domino賬戶，無疑加大了維護(hù)的不便?，F(xiàn)在Lotus Domino中包括的一個(gè)工具（Lotus Domino Active Directory Synchronization 工具）可使Domino和Active Directory之間進(jìn)行同步，ADSync 允許管理員來保持 Domino Directory 和 Active Directory 用戶和組的同步。管

5、理員可以注冊、同步屬性和密碼，而且在 Active Directory 中對用戶和組執(zhí)行重命名和刪除操作時(shí)，還會(huì)在 Domino Directory 中執(zhí)行同樣的操作，反之亦然。其特性包括兩個(gè)目錄之間的容器映射和屬性映射，以及注冊用戶時(shí)所使用的策略。它的設(shè)置和用法很簡單，但是仍存在需要考慮的問題。具體咱們一塊體驗(yàn)一下； 環(huán)境介紹Hostname：gavin-dcIp:54Os:windows2008R2Roles:AD DNS DHCP ADSyncHostname：gavin-dominoIp:0Os:windows2008R2Roles:

6、domino serverVersion：Domino 8.5.11我們首先要在DC(Active Directory)上安裝ADSync工具。該工具集成在Domino Lotus client admin的安裝包下；我們首先雙擊運(yùn)行Lotus client安裝包，并且安裝在D盤下；ADSync 作為安裝選項(xiàng)包含在 IBM Lotus Domino Administrator 客戶機(jī)中在 IBM Lotus Notes 安裝向?qū)У?Custom Setup 窗口中，選擇 Domino Administrator 選項(xiàng)以及 Domino Directory W2000 Sync Services

7、 子選項(xiàng)。開始安裝。集成ADSync工具到域控制器ADSync 由一個(gè) DLL 文件（nadsync.dll）組成。在 Windows 平臺上安裝 ADSync 時(shí)，首先進(jìn)入Lotusnotes安裝目錄，執(zhí)行以下命令：Regsvr32 nadsync.dll ，檢查是否存在NTSync45.nsf數(shù)據(jù)庫（位于：:Lotusnotesdata目錄我們注冊的時(shí)候提示拒絕訪問，應(yīng)該是權(quán)限不夠；所以我又將安裝目錄下的磁盤權(quán)限給了everyone可讀可寫，再次運(yùn)行還是不行，所以在網(wǎng)上就找相關(guān)的case，終于找到了，需要修改注冊表的權(quán)限，具體見下；運(yùn)行regedit打開注冊表編輯器；HKEY_LOCAL_

8、MACHINE-SOFTWARE-Wow6432HodeMicrosoft-MMCSnapIns-E255E538-1C2E-1100-8C37-00C04FI0FE93修改目錄下的權(quán)限修改兩個(gè)目錄的權(quán)限勾選SYSTEM、ADministrators的完全控制權(quán)限更改所有者為-administrators同樣勾選SYSTEM、Administrators的完全控制權(quán)限那因?yàn)樾薷耐曜员硐到y(tǒng)重啟后才能生效，所以我們重啟系統(tǒng)后，運(yùn)行regssvr32 nadsync.dll重新注冊；注冊成功接下來就是安裝windows2003 administrator park工具（該工具在windows200

9、3安裝光盤的，tools下，該步驟跳過哦），安裝完后重啟系統(tǒng)，我們可以打開Active Directory用戶和計(jì)算機(jī)可以看見Lotus 管理工具在配置Domino目錄同步前，我們需要跟Domino server進(jìn)行連接；不然無法配置Domino目錄的同步選項(xiàng)；創(chuàng)建連接器；不然notes及adsync提示找不到服務(wù)器路徑因?yàn)樵诎惭bADSync工具的時(shí)候需要指定一個(gè)用戶，所以我注冊了sam用戶打開sam的聯(lián)系人單擊高級選擇連接-新建基本-填寫服務(wù)器名稱：gavin-mail/gavin使用lan端口-勾選TCPIP高級標(biāo)簽下：目的服務(wù)器地址：也可以寫Ip也可以寫服務(wù)器的hostname（gavin-mail/gavin）創(chuàng)建完連接后，開始配置可以根據(jù)自己的需求啟用同步內(nèi)容同時(shí)也可以修改注冊服務(wù)器及管理標(biāo)示同事修改驗(yàn)證策略及注冊策略選擇映射關(guān)系，因?yàn)槲抑灰矫艽a就行；所以在AD下對應(yīng)的內(nèi)容找到Userpassword,然后在Domino目錄下找到HTTP密碼強(qiáng)制更改修改AD容器下所對應(yīng)的策略，該策略是顯著策略，所以可以選擇；如