目前企业应用最多的邮件系统有两种;一个为Microsoft Exchange、一个就是IBM的Dominoo Lotus;Exchange server是跟AD做集成的,也就是说,公司环境内有域环境的应用Exchange最合适了,这样企业内部的应用系统及邮箱用户通过 域账户做为验证,简单的 说内部应用系统和邮箱系统使用一个目录(AD)进行验证,管理起来比较方便,当然另外一个问题也随之产生,那就是如果使用Exchange邮件系统,费用比较高,因为如果企业大的话收费太高了,据了解使用Exchange邮件系统是按照客户端收费的,如果企业内的人数众多的话,如果以5000人算,企业每年都会给Microsoft将近300W的服务费,所以一般的企业会放弃使用Exchange邮件系统。
再说说IBM Lotus邮件系统,现在升级的也比较快,目前都有Domino 9了,不管从界面、功能、兼容性上来说都有一定的提升,IBM Lotus软件是一个开源软件,可以根据自己的需求开发自己所希望的功能及应用;IBM Lotus软件收费低,但服务贵(技术热线),一次性购买软件使用后期不用为软件续费,除非购买服务,一般企业用简单服务的话就不必考虑这么多了,购买软件后自己开发应用功能,但是该软件也有个致命的问题,就是跟域不集成(Lotus有自己的目录系统),意思就是说,如果企业内有域环境,这样就会产生两套不同的目录系统,域系统一套密码、邮箱系统一套密码,使用起来比较繁琐。为了解决这个问题,IBM也推出了一个软件TIM(Tivoli Identity Manager),该软件是收费的,应用也是收费的,是按照客户端收费的,那该软件有什么用呢,简单的说就是解决AD跟Lotus的集成问题,使得AD内的数据跟Domino下的数据同步,比如用户zhangsan的密码更改后,会同步到Domino下对应的zhangsan用户下;还可以做到在AD内创建用户可以自行在Domino下创建用户。该软件收费也挺高的,近RMB:6800圆,但是买了这个软件后不会使用,需要买服务等,定制完服务IBM会自行开发功能,然后按照客户端收费,如果按照1000人算的话,并且让IBM提供部署手册及技术援助需要14W,所以收费还是比较高的,所以这个方法也放弃了。
作为管理员,通常需要为同一用户分别创建windows账户、domino账户,无疑加大了维护的不便。现在Lotus Domino中包括的一个工具(Lotus Domino Active Directory Synchronization 工具)可使Domino和Active Directory之间进行同步,ADSync 允许管理员来保持 Domino Directory 和 Active Directory 用户和组的同步。管理员可以注册、同步属性和密码,而且在 Active Directory 中对用户和组执行重命名和删除操作时,还会在 Domino Directory 中执行同样的操作,反之亦然。其特性包括两个目录之间的容器映射和属性映射,以及注册用户时所使用的策略。它的设置和用法很简单,但是仍存在需要考虑的问题。具体咱们一块体验一下;
操作 |
从 Active Directory 平台 |
从 Lotus Domino 平台 |
注册用户 |
可以 |
可以 |
重命名在 Active Directory 中创建的用户 |
只能重命名 Active Directory 用户 |
只能重命名 Active Directory 用户 |
重命名在 Lotus Domino 中创建的用户 |
可以 |
可以 |
同步用户数据 |
可以 |
不可以 |
删除用户 |
可以 |
可以 |
创建组 |
可以 |
不可以 |
重命名组 |
可以 |
不可以 |
同步组数据 |
使用 Active Directory 中所定义的成员关系来重写 Domino Directory Members 字段 |
不可以 |
删除组 |
不可以 |
可以 |
批量导入现有用户密码 |
不可以 |
不可以 |
环境介绍
Hostname:gavin-dc
Ip:192.168.221.254
Os:windows2008R2
Roles:AD DNS DHCP ADSync
Hostname:gavin-domino
Ip:192.168.221.10
Os:windows2008R2
Roles:domino server
Version:Domino 8.5.1
1.我们首先要在DC(Active Directory)上安装ADSync工具。该工具集成在Domino Lotus client admin的安装包下;我们首先双击运行Lotus client安装包,并且安装在D盘下;
ADSync 作为安装选项包含在 IBM Lotus Domino Administrator 客户机中
在 IBM Lotus Notes 安装向导的 Custom Setup 窗口中,选择 Domino Administrator 选项以及 Domino Directory W2000 Sync Services 子选项。
开始安装。
集成ADSync工具到域控制器
ADSync 由一个 DLL 文件(nadsync.dll)组成。在 Windows 平台上安装 ADSync 时,首先进入Lotus\notes安装目录,执行以下命令:Regsvr32 nadsync.dll ,检查是否存在NTSync45.nsf数据库(位于::\Lotus\notes\data目录
我们注册的时候提示拒绝访问,应该是权限不够;
所以我又将安装目录下的磁盘权限给了everyone可读可写,再次运行还是不行,所以在网上就找相关的case,终于找到了,需要修改注册表的权限,具体见下;
运行regedit打开注册表编辑器;HKEY_LOCAL_MACHINE----SOFTWARE----Wow6432Hode—Microsoft---MMC—SnapIns---E255E538-1C2E-1100-8C37-00C04FI0FE93
修改目录下的权限
修改两个目录的权限
勾选—SYSTEM、ADministrators的完全控制权限
更改所有者为---administrators
同样勾选SYSTEM、Administrators的完全控制权限那
因为修改完注册表系统重启后才能生效,所以我们重启系统后,运行regssvr32 nadsync.dll重新注册;注册成功
接下来就是安装windows2003 administrator park工具(该工具在windows2003安装光盘的,tools下,该步骤跳过哦),安装完后重启系统,我们可以打开Active Directory用户和计算机可以看见Lotus 管理工具
在配置Domino目录同步前,我们需要跟Domino server进行连接;不然无法配置Domino目录的同步选项;
创建连接器;不然notes及adsync提示找不到服务器路径
因为在安装ADSync工具的时候需要指定一个用户,所以我注册了sam用户
打开sam的联系人
单击高级
选择连接-----新建
基本---填写服务器名称:gavin-mail/gavin
使用lan端口----勾选TCPIP
高级标签下:目的服务器地址:也可以写Ip也可以写服务器的hostname(gavin-mail/gavin)
创建完连接后,开始配置
可以根据自己的需求启用同步内容
同时也可以修改注册服务器及管理标示
同事修改验证策略及注册策略
选择映射关系,因为我只要同步密码就行;
所以在AD下对应的内容找到Userpassword,然后在Domino目录下找到HTTP密码强制更改
修改AD容器下所对应的策略,该策略是显著策略,所以可以选择;
如果是全局策略,无法分配策略
此时,我们AD及Domino下同时注册了zhangsan用户;
然后重置域用户zhangsan的密码;
我们希望domino目录下的zhangsan用户密码也随之更改;所以选择zhangsan----右击----与Domino同步
然后输入公用需要同步的密码
同步完成步完成
通过同步的公用密码登陆
本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1316122,如需转载请自行联系原作者
