Confluence 6 有关 AD 的一些特殊说明

当应用程序对使用 Active Directory (AD) 的 LDAP 服务器进行同步的时候，同步的任务只对 LDAP 最近修改的数据进行同步而不是对整个数据库进行同步。由于是增量同步，在第一次完整同步完成后，后续的同步效率就很是高并且同步时间也很是短。

在另一个方面，这个同步方法也会有一些限制：

1. 从 Scope 外移动或者重命名对象将会在 AD 中致使问题：若是你从 AD 中移动对象到 scope 外，将会致使缓存和服务器上的用户数据不一致。咱们不建议你使用外部 LDAP 目录界面来移动对象到 scope 外的子树。若是你对 LDAP 服务器进行告终构上的修改，咱们建议你手动同步 LDAP 服务器来保持数据的完整性。
2. 不支持在 AD 服务器之间同步：Microsoft Active Directory 在不一样实例之间不会复制 uSNChanged 属性。基于这个缘由，咱们不支持在链接 AD 服务器之间进行同步（你能够定义多个 AD 服务器，而后在 Confluence 中配置多个 AD 服务器）。
3. 不支持配置在负载均衡后的 AD 同步：针对 2 个不一样的 AD 服务器，Microsoft Active Directory 在不一样实例之间不会复制 uSNChanged 属性。基于这个缘由 AD 服务器不能配置负载均衡，由于 2 个 AD 的实例的名字是不同的。你能够在你本地配置一个 AD 服务器而避免使用负载均衡。
4. 当你从备份中恢复 AD 后，你必须重启你的 Confluence 服务器： 在一个 AD 服务器的备份和恢复过程当中，uSNChanged 时间戳将会被设置为备份的时间。为了不冲突和混乱，你须要在 AD 服务器进行备份和恢复后刷新你本地 Confluence 服务器上的缓存。
5. 得到 AD 删除的对象，你须要管理员权限：Active Directory 存储删除的对象在一个特殊的容器中，这个容器被称为 cn=Deleted 对象。在默认的状况下，访问这个对象，你须要具备管理员权限，所以在同步删除用户的时候，你也须要有管理员权限和管理员的用户名和密码才能够访问到。可选的是，你能够修改 cn=Deleted 对象容器的权限。若是你但愿这这样作，请参考 this Microsoft KB article 中的文章。
6. 链接 AD 使用的 DN 用户名必须具备查看 uSNChanged 属性的权限：同步任务依赖 uSNChanged 属性来找到相关的修改。所以你必须正确配置 AD 的安全用户组配置，来让这个属性可以在 LDAP 对象和子树中存在。

 

https://www.cwiki.us/display/CONFLUENCEWIKI/User+Management+Limitations+and+Recommendations