Confluence 6 有關 AD 的一些特殊說明

當應用程序對使用 Active Directory (AD) 的 LDAP 伺服器進行同步的時候，同步的任務只對 LDAP 最近修改的數據進行同步而不是對整個資料庫進行同步。因為是增量同步，在第一次完整同步完成後，後續的同步效率就非常高而且同步時間也非常短。

在另外一個方面，這個同步方法也會有一些限制：

1. 從 Scope 外移動或者重命名對象將會在 AD 中導致問題：如果你從 AD 中移動對象到 scope 外，將會導致緩存和伺服器上的用戶數據不一致。我們不建議你使用外部 LDAP 目錄界面來移動對象到 scope 外的子樹。如果你對 LDAP 伺服器進行了結構上的修改，我們建議你手動同步 LDAP 伺服器來保持數據的完整性。
2. 不支持在 AD 伺服器之間同步：Microsoft Active Directory 在不同實例之間不會複製 uSNChanged 屬性。基於這個原因，我們不支持在連接 AD 伺服器之間進行同步（你可以定義多個 AD 伺服器，然後在 Confluence 中配置多個 AD 伺服器）。
3. 不支持配置在負載均衡後的 AD 同步：針對 2 個不同的 AD 伺服器，Microsoft Active Directory 在不同實例之間不會複製 uSNChanged 屬性。基於這個原因 AD 伺服器不能配置負載均衡，因為 2 個 AD 的實例的名字是不一樣的。你可以在你本地配置一個 AD 伺服器而避免使用負載均衡。
4. 當你從備份中恢復 AD 後，你必須重啟你的 Confluence 伺服器： 在一個 AD 伺服器的備份和恢復過程中，uSNChanged 時間戳將會被設置為備份的時間。為了避免衝突和混亂，你需要在 AD 伺服器進行備份和恢復後刷新你本地 Confluence 伺服器上的緩存。
5. 獲得 AD 刪除的對象，你需要管理員許可權：Active Directory 存儲刪除的對象在一個特殊的容器中，這個容器被稱為 cn=Deleted 對象。在默認的情況下，訪問這個對象，你需要具有管理員許可權，因此在同步刪除用戶的時候，你也需要有管理員許可權和管理員的用戶名和密碼才可以訪問到。可選的是，你可以修改 cn=Deleted 對象容器的許可權。如果你希望這這樣做，請參考 this Microsoft KB article 中的文章。
6. 連接 AD 使用的 DN 用戶名必須具有查看 uSNChanged 屬性的許可權：同步任務依賴 uSNChanged 屬性來找到相關的修改。因此你必須正確配置 AD 的安全用戶組配置，來讓這個屬性能夠在 LDAP 對象和子樹中存在。

https://www.cwiki.us/display/CONFLUENCEWIKI/User+Management+Limitations+and+Recommendations