直接给一个all person的AD组赋了个read权限,然后将一个名为“all beijing”的组加到all person组里,但是all beijing组里的人却不能登录sharepoint,提示没有权限。
刚开始以为是个简单的同步问题,想着等个10来分钟,就会好了,可结果过了两个小时,还是提示没有权限,用sharepoint check permission同样是没有权限。
在百思不得其解后,突然想到,是不是缓存问题,让用户直接访问以机器名开头的url地址,用户就直接登录上了。比如我们的备用访问映射配的是http://intanet, 让后用户访问http://webservername ,用户就直接登录上了。 webservername是farm的前端服务器名称。
所以这也算是一种零时坚决方案,让用户直接访问机器名的url.
由此可见,是由于缓存造成的,但为什么缓存这么长时间还不过期呢? 查了一下SharePoint 2013有个新的服务叫distributed cache service. 它的一段介绍如下
SharePoint 2013 uses a new Distributed Cache Service to cache login tokens. In SharePoint 2010 Products, the login token is stored in the memory of each web front-end server. Each time a user accesses a specific web front-end server, it needs to authenticate. If you use network load balancers in front of your web front-ends, users need to authenticate for each web front-end server that is accessed behind the load balancer, causing possible multiple re-authentications. To avoid re-authentication and its delay, it is recommended to enable and configure load balancer affinity (also known as sticky sessions). By storing the login tokens in the Distributed Cache Service in SharePoint 2013, the configuration of affinity in your load balancing solution is no longer required. There are also scale-out benefits and less memory utilization in the web front-ends because of a dedicated cache service.
它里面的其中一个cache就是user login token cache. 所以我推测应该是这个cache造成的。 有查了一下,貌似这个cache的过期时间尽然有10多小时。
我想还有一种解决方案就是把IE浏览器的缓存清空一下,这个我没有试过。
我这的实际情况是没用情况缓存,用户第二天上班的时候,就自然能登录了。