如果在多棵 eDirectory 树中执行了不兼容的口令策略，并且选择如果口令不相符则重新设置（使用选项 If password does not comply, enforce Password Policy on the connected system by resetting user's password to the Distribution Password（如果口令不相符，则将用户口令重置为分发口令以在连接系统上强制口令策略）），则可能会遇到循环，在此循环中每个 Identity Vault 服务器均尝试更改不相符的口令。

关于口令策略的信息，请参见《《口令管理》管理指南》中的《使用口令策略管理口令》。

如果要使用通用口令来同步口令，请确保已针对要同步通用口令的所有类的公共密钥和私用密钥特性，将 eDirectory 驱动程序的过滤器设置为《忽略》。

用于口令同步的新策略可支持通用口令和分发口令。 如果打算只同步 NDS 口令，则不应将这些策略添加到驱动程序配置中。 同步 NDS 口令时，需要使用公共密钥和私用密钥特性，而不使用这些策略。

执行《检查口令状态》任务，可以查看 Identity Manager 中的用户口令是否与已连接系统上的口令同步。

如果您正在使用 Identity Manager Driver for eDirectory，并且某个用户的口令策略在《配置选项》选项卡中指定通用口令更新时不更新 NDS 口令，则该用户的《检查口令状态》任务将始终显示口令未同步。 即使事实上已连接系统上的 Identity Manager 分发口令和通用口令相同，口令状态仍会显示为没有同步。

这是由于 Identity Vault 检查口令功能此时正在检查 NDS 口令，而没有通过 NMAS™ 参考通用口令。

默认情况下，口令策略中更新通用口令时，NDS 口令也会更新。 如果选择此选项，则对于已连接系统来说，《检查口令状态》应该是准确的。

有关创建 CA 和配置证书服务器的说明，请参考Section 4.2, 配置安全 Identity Manager 数据传送。