開啟本功能並正確設定後 , 系統將會在適當時間,將AD上的帳號學習至本系統,其時機為下幾種狀況. 1. 當本伺服器收到信件時 , 伺服器會立即自動建立AD上已經存在之該帳號,但此時密碼為隨機亂數密碼. 2. 當使用AD帳號及密碼登入 pop3 或 imap 時 , 伺服器將自動建立該帳號並校正密碼. 3. 當使用AD帳號及密碼登入Webmail時, 伺服器將自動建立該帳號並校正密碼.
某些電腦端掃毒軟體會將收信軟體之pop3或imap 代理為pop3s或imaps 請必須關閉掃毒軟體該功能,或至少登入一次webmail以正確校正密碼. 當AD上之帳號刪除或停用,本系統將會於約1小時,根據下方『AD帳號刪除處理方式』刪除或僅停用該帳號 當AD上之帳號恢復時,最依照之前刪除方式將帳號恢復或重新建立. 當AD暫時無服務或失效時,本系統會忽略AD功能,但不會刪除或校正密碼之動作. 若本機上手動建立的帳號與AD帳號有重複時,AD帳號不會被建立
AD 整合帳號時 , 當AD更改密碼後 , 發現新的帳號和舊的帳號都可以登入 獨立測試對 AD 進行密碼驗證時發現也是如此 網路上的文章發現 這是 windows server 2003sp1以後 的 "特異功能" 詳細可以參考下列文章 http://blog.yam.com/gavint/article/17796724
意思是更改密碼後會有 1 小時的緩衝期 讓使用者新舊密碼都可登入 Microsoft Windows Server 2003 Service Pack 1 (SP1) 修改 NTLM 網路驗證行為。在安裝 Windows Server 2003 SP1 之後,網域使用者可以使用舊密碼來存取網路的一小時後變更密碼。這個變更不會影響現有的元件設計來使用 Kerberos 進行驗證。 若要可靠地支援網路存取的 NTLM 網路驗證,在分散式環境中,Windows Server 2003 SP1,如下所示修改 NTLM 網路驗證行為: 網域使用者使用 NTLM 成功變更密碼後,舊的密碼仍可用於網路存取使用者可定義的時間期間內。這種行為可讓帳戶,例如服務帳戶,登入多部電腦來存取網路時變更密碼傳播。 密碼的副檔名存留期只適用於網路存取使用 NTLM。互動式登入行為是不變。此行為不適用於帳戶裝載在獨立伺服器或成員伺服器上。只有網域使用者會受到這個問題。 舊密碼存留期可以藉由編輯登錄網域控制站上的設定。沒有重新啟動,才能讓這個登錄變更才會生效。
重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:322756
若要變更的舊密碼存留期,新增下列登錄子機碼,在網域控制站上名為 OldPasswordAllowedPeriod 的 DWORD 項目:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
若要執行這項操作,請依照下列步驟執行:
1.按一下 [開始],按一下 [執行]、 輸入regedit,然後按一下[確定]。
2.找出並按一下下列登錄子機碼:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
3.在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
4.輸入OldPasswordAllowedPeriod做為 DWORD 名稱,然後按 ENTER 鍵。
5.OldPasswordAllowedPeriod,以滑鼠右鍵按一下,然後按一下 [修改]。
6.在 [數值資料] 方塊中,鍵入您想要使用的分鐘值,然後按一下[確定]。注意存留期設定以分鐘為單位。如果未設定此登錄值,預設的舊密碼存留期為 60 分鐘。
7.結束 「 登錄編輯器 」。
注意這個登錄設定值並不需要重新啟動電腦才會生效。
1. 完全以AD密碼為基準,這樣每次詢問帳號、密碼均要與 AD進行確認,這樣會造成 MX MAIL與 AD溝通異常的頻繁 2. MX MAIL系統未記錄下客戶最後與AD確認的帳號、密碼。後續除非密碼出現不同。MX MAIL才會再次與AD進行驗證,否則MX MAIL系統就會以最後有效密碼做為答覆確認進行運作。 這樣即使AD或是網路出現無法與AD連線時,MX MAIL系統仍可以維持運作
所以當AD進行密碼變更,使用者端必須更新密碼。MX MAIL收到不同密碼時,才會再次進行AD的溝通驗證 相反的如果USER不論是登入 webmail 或是outlook MUA 軟體沒有進行密碼變更,舊的密碼仍是有效繼續使用。