Confluence 6 有關 AD 的一些特殊說明

當應用程序對使用 Active Directory (AD) 的 LDAP 服務器進行同步的時候，同步的任務只對 LDAP 最近修改的數據進行同步而不是對整個數據庫進行同步。由於是增量同步，在第一次完整同步完成後，後續的同步效率就很是高並且同步時間也很是短。

在另一個方面，這個同步方法也會有一些限制：

1. 從 Scope 外移動或者重命名對象將會在 AD 中致使問題：若是你從 AD 中移動對象到 scope 外，將會致使緩存和服務器上的用戶數據不一致。咱們不建議你使用外部 LDAP 目錄界面來移動對象到 scope 外的子樹。若是你對 LDAP 服務器進行告終構上的修改，咱們建議你手動同步 LDAP 服務器來保持數據的完整性。
2. 不支持在 AD 服務器之間同步：Microsoft Active Directory 在不一樣實例之間不會複製 uSNChanged 屬性。基於這個緣由，咱們不支持在鏈接 AD 服務器之間進行同步（你能夠定義多個 AD 服務器，而後在 Confluence 中配置多個 AD 服務器）。
3. 不支持配置在負載均衡後的 AD 同步：針對 2 個不一樣的 AD 服務器，Microsoft Active Directory 在不一樣實例之間不會複製 uSNChanged 屬性。基於這個緣由 AD 服務器不能配置負載均衡，由於 2 個 AD 的實例的名字是不同的。你能夠在你本地配置一個 AD 服務器而避免使用負載均衡。
4. 當你從備份中恢復 AD 後，你必須重啓你的 Confluence 服務器： 在一個 AD 服務器的備份和恢復過程當中，uSNChanged 時間戳將會被設置爲備份的時間。爲了不衝突和混亂，你須要在 AD 服務器進行備份和恢復後刷新你本地 Confluence 服務器上的緩存。
5. 得到 AD 刪除的對象，你須要管理員權限：Active Directory 存儲刪除的對象在一個特殊的容器中，這個容器被稱爲 cn=Deleted 對象。在默認的狀況下，訪問這個對象，你須要具備管理員權限，所以在同步刪除用戶的時候，你也須要有管理員權限和管理員的用戶名和密碼才能夠訪問到。可選的是，你能夠修改 cn=Deleted 對象容器的權限。若是你但願這這樣作，請參考 this Microsoft KB article 中的文章。
6. 鏈接 AD 使用的 DN 用戶名必須具備查看 uSNChanged 屬性的權限：同步任務依賴 uSNChanged 屬性來找到相關的修改。所以你必須正確配置 AD 的安全用戶組配置，來讓這個屬性可以在 LDAP 對象和子樹中存在。

 

https://www.cwiki.us/display/CONFLUENCEWIKI/User+Management+Limitations+and+Recommendations