Главная Exchange/UC, Windows, Новое Синхронизация глобальных списков адресов (GAL) с использованием ILM 2007 FP1
  • Синхронизация глобальных списков адресов (GAL) с использованием ILM 2007 FP1

    catalog Как обычно посетив работу, узнаешь, что задачи и проекты по реализации падают, как снег на голову и вот именно поэтому появилась данная статья. Сегодня мы поговорим о том, как настроить синхронизацию адресных книг (GAL) между двумя лесами средствами Microsoft Identity Lifecycle Manager 2007 FP1. Очень часто в крупных сетях требуется объединить несколько почтовых организаций в единый Global Address List. При этом обоснование очень простое “это требуется бизнесу”. Ну, надо так надо.

    Не много об ILM

    Microsoft Identity Lifecycle Manager (ILM) – программное решение, позволяющее IT-организациям снизить издержки управления жизненным циклом идентификации пользователей. ILM обладает возможностями эффективного контроля доступа, обеспечивая интегрированное управление метакаталогом, сертификатами, паролями и регистрацией пользователей Windows и других корпоративных систем.

    ILM включает в себя возможности продуктов Microsoft Identity Integration Server 2003 и Alacris idNexus. В пакете ILM эти продукты реализовывают функции синхронизации и метакаталога. ILM позволяет устанавливать подлинность и управлять дентификационными данными из разных связанных между собой хранилищ. ILM включает в себя свыше 30 типов агентов управления (Management Agent), которые могут без предварительной настройки использоваться для работы во многих существующих службах каталогов, базах данных, системах обработки электронной почты

    В нашем примере мы рассмотрим ситуацию, когда появилась необходимо настроить синхронизацию адресных книг между двумя разными организациями, в одной из которых развернут домен уровня Windows 2008 в другой домен уровня Windows 2003 в каждом домене развернута почтовая организация Exchange 2007.
    Алгоритм работы системы должен быть следующим: в одном из доменов создается учетная запись пользователя с почтовым ящиком, автоматически в другом домене должен создаваться контакт на этого пользователя и наоборот. (Рис.1 и Рис.2)

    clip_image002

    Рисунок 1. Пример сложной организации Exchange с несколькими лесами

    Таким образом, пользователи в своих почтовых клиентах видят все контакты из обеих организаций, что согласитесь очень удобно для рядовых сотрудников компании.

    clip_image002

    Рисунок 2. Адресная книга

    Для начала я подготовил тестовую среду, в состав которой входят следующие узлы:

    Сервер 1 (DC1) с установленной операционной системой Windows Server 2003 Enterprise Edition, в целях экономии ресурсов на этом же сервере установлен Exchange 2007 Service pack 2. Домен Nwtarders.msft

    Сервер 2 (DC2) с установленной операционной системой Windows Server 2008 Enterprise Edition, и снова в целях экономии ресурсов на этом же сервере установлен Exchange 2007 Service pack 2. Домен Df.local

    Сервер 3 (ILM) с установленной операционной системой Windows Server 2008 Enterprise Edition, на этот сервер мы установим Microsoft Identity Lifecycle Manager 2007 FP1. Данные сервер включен в состав домена nwtraders.msft.

    В тестовой среде я специально использовал адреса для узлов из одной подсети.

    clip_image002[4]

    Рисунок 3. Схема стенда для тестирования

    Первым шагом на пути к синхронизации адресных книг, будет настройка разрешения имен между доменами, это можно реализовать разными способами, в данной статье мы настроим DNS forwarders в консоли DNS. (нужно не забыть открыть соответствующие порты на межсетевых экранах, если вы их используете).

    1. На Сервере DC1 выбираем Start—>Programs—>Administrative Tools—>DNS—>
    Properties—>Forwarders—>New

    clip_image002[6]

    Рисунок 4. Настройка Forwarders

    2. Указываем имя целевого домена df.local запросы, для которого будут пересылаться на
    DNS сервер DC2 домена df.local.

    clip_image002[8]

    Рисунок 5. Имя домена назначения

    3. Далее указываем IP адрес контроллера домена DC2 (В моем случае это 192.168.13.147,
    выбор данного IP адреса обусловлен требованиями нашей тестовой зоны)

    clip_image002[10]

    Рисунок 6. Свойства DNS

    4. Те же действия повторяем для сервера DC2 контроллера домена df.local (пересылка в
    Windows 2008 настраивается несколько иначе). На Сервере DC2 выбираем Start—>
    Programs—>Administrative Tools—>DNS—Conditional Forwarders—New Conditional
    Forwarder.

    clip_image002[12]

    Рисунок 7. Создание Forwarders

    5. Указываем имя домена nwtraders.msft и IP адрес сервера DC1 (в моем случае это 192.168.13.140)

    clip_image002[14]

    Рисунок 8. Результат создания записи

    После настройки разрешения имен необходимо проверить, что все серверы разрешают имена друг друга. Вторым шагом будет создание организационных единиц и учетных записей для агентов синхронизации в целевых доменах, присвоить учетным записям соответствующие права и делегировать им управление над организационными единицами.

    1. Идем на контроллер домена DC1 домена nwtraders.msft.

    2. Открываем оснастку Active Directory Users And Computers, выбираем домен
    nwtraders.msft.

    3. Жмем правой кнопкой мыши на домене nwtraders.msft, выбираем пункт меню New—>
    Organizational Unit и создаем определенную структуру организационных единиц, как
    указано ниже на рисунке.

    clip_image002[16]

    Рисунок 9. Структура организационных единиц для домена nwtraders.msft

    4. После создания организационных единиц создаем учетную запись для агента домена nwtraders.msft, для этого переходим в организационную единицу Users –> Правой кнопкой мыши –> из контекстного меню выбираем New—> User—> Указываем имя учетной записи (Nwagent) и нажимаем Next.

    clip_image004

    Рисунок 10. Создание учетной записи для агента в домене Nwtraders.msft

    5. Вводим пароль и отмечаем чекбокс Password never expires.

    clip_image002[18]

    Рисунок 11. Окно ввода пароля

    Теперь переходим к следующему шагу, созданию организационных единиц и делегированию разрешений на эти организационные единицы для вновь созданной учетной записи.

    1. Откройте оснастку Active Directory Users and Computers на сервере DC1. Создайте структуру организационных единиц как показано на (Рис. 11).

    clip_image004

    Рисунок 12. Структура организационных единиц для nwtraders.msft

    Такая структура потребуется для упорядоченного хранения контактов и пользовательских учетных записей. В продакшн среде структура организационных единиц может значительно отличаться. Главное понять идеологию.

    Далее в меню View выберите Advanced Features.

    clip_image002[20]

    Рисунок 13. Включение Advanced Features

    3. Нажмите правой кнопкой мыши на домене nwtraders.msft, выберите пункт меню
    Properties.

    clip_image004[4]

    Рисунок 14. Свойства домена nwtraders.msft

    4. После этого выберите вкладку Security, нажмите Add, добавьте учетную запись пользователя nwtraders\nwagent, в разделе Allow отметьте чекбоксы Read и Replicate Directory Changes.

    clip_image002[22]

    Рисунок 15. Предоставление прав

    5. Нажмите Apply и OK.

    6. Закройте оснастку.

    7. Далее нам необходимо делегировать определенного вида права нашей учетной записи.
    Выберите Start—>Run–> Adsiedit.msc с правами администратора домена. Нажмите
    правой кнопкой мыши на ADSI Edit и выберите пункт меню Connect, нажмите Ок.

    clip_image004[6]

    Рисунок 16. Оснастка ADSI Edit

    8. Разверните список DC=nwtraders,DC=msft.

    9. Найдите объект, DC=nwtraders,DC=msft, OU=GalSynchronization object.

    10. Нажмите правой кнопкой мыши на объекте OU=nwtraders и выберите Properties.

    clip_image002[24]

    Рисунок 17. Свойства объекта nwtraders

    11. Откройте вкладку Security.

    12. Нажмите кнопку Advanced.

    13. Нажмите кнопку Add введите имя пользователя nwtraders\nwagent и нажмите Ок.

    14. Нажмите на кнопку Properties.

    15. В разделе Apply onto выбирите Child objects only (для Windows 2003) или All
    descendant obects (для Windows 2008).

    16. В разделе Allow Отметьте чекбокс Write proxyAddresses.

    clip_image002[26]

    Рисунок 18. Предоставление доступа для Write proxyAddresses

    17. Нажмите OK.

    18. Нажмите Apply.

    19. Нажмите OK два раза.

    Далее нам нужно присвоить полные разрешения на целевой контейнер, в котором будут создаваться контакты.

    1. Откройте оснастку Active Directory Users and Computers.

    2. В меню View, выберите Advanced Features.

    clip_image002[28]

    Рисунок 19. Назначение прав на целевой контейнер

    3. Разверните список nwtraders.msft .

    4. Разверните организационную единицу GalSynchronization, и нажмите правой кнопкой
    мыши на контейнере DF.

    5. Выберите Properties,перейдите на вкладку Security и нажмите Advanced.

    6. Нажмите Add и укажите имя пользователя nwtraders\nwagent и нажмите Ок.

    7. В разделе Apply onto укажите Child objects only.

    clip_image002[30]

    Рисунок 20. Назначение прав на объекты

    8. В разделе Allow отмечтьте чекбокс Full Control.

    9. Нажмите OK и Apply.

    10. Нажмите два раза OK и закройте оснастку.

    И последнее, что нужно сделать, это добавить учетную запись агента синхронизации nwtraders\nwagent в группу Exchange Recipient Administrators для этого:

    1. Откройте оснастку Active Directory Users and Computers.

    2. В меню View выберите Advanced Features.

    clip_image002[32]

    Рисунок 32. Настройка консоли

    3. Разверните список df.local.

    4. Разверните организационную единицу GalSynchronization, и нажмите правой кнопкой
    мыши на контейнере NWTRADERS.

    5. Выберите Properties,перейдите на вкладку Security и нажмите Advanced.

    6. Нажмите Add укажите имя пользователя df\dfagent и нажмите Ок.

    7. В разделе Apply onto укажите Child objects only.

    clip_image004[8]

    Рисунок 33. Настройка прав доступа

    8. В разделе Allow отмечтьте чекбокс Full Control.

    9. Нажмите OK и Apply.

    10. Нажмите два раза OK и закройте оснастку.

    И последнее, что нужно сделать, это добавить учетную запись агента синхронизации df\dfagent в группу Exchange Recipient Administrators

    1. Откройте оснастку Active Directory Users and Computers.

    2. В меню View выберите Advanced Features.

    clip_image002[33]

    Рисунок 34. Настройка консоли

    3. Разверните df.local перейдите в организационную единицу Microsoft Exchange Security
    Groups.

    4. Нажмите правой кнопкой мыши на группе Exchange Recipient Administrators.

    5. Выберите Properties.

    6. Перейдите на вкладку Members и нажмите Add укажите учетную запись df\dfagent и
    нажмите Ок.

    clip_image006

    Рисунок 35. Добавление в группу

    7. Нажмите последовательно OK, Apply, OK.

    8. Закройте оснастку.

    После создания иерархии организационных единиц и учетных записей в целевых доменах, приступаем непосредственно к установке и конфигурации ILM 2007 FP1. Установка данного продукта не самое сложное действо, при этом настройка это более трудоемкий процесс, в зависимости от задач, иногда требует полного понимания процесса синхронизации метаданных, осмысление правил сопоставления атрибутов и их обновления.

    Системные требования для установки Microsoft Identity Lifecycle Manager 2007 FP1:

    Наличие операционной системы Windows Server 2003 or Windows Server 2008 32 bit

    Наличие SQL Server 2005 SP 2 or later or SQL Server 2000, Service Pack 4 (SP4) or later. Both Enterprise and Standard edition of SQL Server works.

    Аппаратные требования:

    1 GHz processor or faster processor recommended; Pentium 4 recommended
    512 MB of RAM or higher; 1 GB or more recommended
    350 MB of available hard-disk space or more for the default installation. An additional 1 GB of available hard-disk space is recommended for the log file.
    8 GB of available hard-disk space on the partition that contains the database files for ILM 2007 metadirectory services and user provisioning

    До недавнего времени работа Microsoft Identity Lifecycle Manager 2007 FP1 не поддерживалась в виртуальной среде и это немного напрягало, ведь сейчас виртуализация и консолидация серверов на подъеме :-). Но! На днях все изменилось, теперь в FAQ по ILM 2007 FP1 появилась следующая информация:

    Q. Is ILM 2007 supported in a virtualized environment?
    A. Yes, ILM 2007 FP1 with latest updates is supported in a Hyper V environment.

    Более подробно с требованиями можно ознакомиться в разделе Microsoft Identity Lifecycle Manager 2007 Frequently Asked Questions, пробную версию Microsoft Identity Lifecycle Manager 2007 FP1 можно загрузить с сайта Microsoft (Пробная версия Microsoft Identity Lifecycle Manager 2007 FP1)

    Дополнительно для работы с организацией Exchange 2007 нам необходимо установить Powershell и консоль управления Exchange 2007 на сервер Microsoft Identity Lifecycle Manager 2007 FP1. Если не установить эти инструменты мы получим ошибку.

    clip_image008

    Рисунок 36 Ошибка из-за отсутствия необходимых компонентов в системе

    Log Name: Application
    Source: MIIServer
    Date: 28.08.2009 4:27:28
    Event ID: 6801
    Task Category: (3)
    Level: Error
    Keywords: Classic
    User: N/A
    Computer: Ilm.nwtraders.msft
    Description:
    The extensible extension returned an unsupported error in MIIS.
    The stack trace is:
    “System.IO.FileNotFoundException: Could not load file or assembly ‘System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35’ or one of its dependencies. The system cannot find the file specified.
    File name: ‘System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35’
    at Exch2007Extension.Exch2007ExtensionClass.BeginExportToCd(String connectTo, String domain, String user, String password)

    1. Установите Microsoft SQL Server 2005 с последними пакетами обновления. Сам процесс установки SQL сервера выходит за рамки данной статьи, и мы его рассматривать не будем. Установленного SQL сервера по умолчанию будет достаточно.

    2. Установите PowerShell –> Start—> Programs –>Administrative Tools—>Server Manager–> Feautures—>Add—>Windows PowerShell—Install.

    3. Установите консоль администрирования Exchange 2007, для этого Вам потребуется
    загрузить 32 битную версию Exchange 2007 c узла Microsoft,

    4. Создайте учетную запись ILM Service в домене nwtraders.msft, внесите ее в группу
    локальных администраторов на сервере ILM, далее установите ILM 2007 FP1 (Важно не
    забыть отметить чекбокс Password Never Expires).

    4.1. Запустите ILMSplash.htm, выберите пункт меню Install Metadirectory services and user
    provisioning.

    clip_image010

    Рисунок 37. Начало установки ILM

    4.2. Выберите Install Metadirectory services and user provisioning.

    clip_image012

    Рисунок 38. Установка ILM

    4.3. Нажмите Next.

    clip_image014

    Рисунок 39. Установка ILM Начало

    4.4. Ознакомьтесь с лицензионным соглашением и примите его

    4.5. Нажмите Next.

    4.6. Выберите тип установки Complete.

    clip_image016

    Рисунок 40. Выбор варианта установки

    4.7. В нашем случае SQL Server установлен на этом же узле в разделе SQL Server
    located on отметьте This computer, в разделе The SQL Server instance отметьте The
    default instance
    .

    clip_image018

    Рисунок 41. Конфигурация подключения к SQL

    4.8. Укажите созданную сервисную учетную запись в домене nwtraders.msft для работы
    ILM 2007 FP1.

    clip_image020

    Рисунок 42. Создание сервисной учетной записи для ILM

    4.9. В следующем окне нажмите Next затем Start.

    clip_image022

    Рисунок 43. Создание групп

    4.10. Нажмите Finish.

    clip_image024

    Рисунок 44. Завершение установки ILM

    1. Запускаем компонент Identity Manager –>Start—>Programs—> Microsoft Identity
    Integration Server—>Identity Manager
    .

    clip_image026

    Рисунок 45. Консоль Identity Manager

    2. Проверяем журналы на предмет ошибок, если все нормально, процесс установки
    успешно завершен. Теперь приступаем к настройке агентов для целевых доменов. Для
    этого выбираем Management Agents—>Create. Укажите в разделе Management Agent
    for параметр Active Directory global address List (GAL), укажите имя агента в разделе
    Name: NwtradersGALMA.

    3. Нажмите Next.

    clip_image028

    Рисунок 46. Создание агента для домена Nwtraders

    4. На странице Connect to Active Directory Forest укажите реквизиты подключения к лесу
    nwtraders.msft. Укажите следующие значения и нажмите Next:

    Forest name: nwtraders.msft

    User name: nwagent

    Domain: nwtraders.msft

    clip_image030

    Рисунок 47. Настройка реквизитов подключения

    5. В окне Configure Directory Partitions отметьте следующие значения.

    В разделе Select directory partitions отметьте чекбокс DC=nwtraders,DC=msft,

    clip_image032

    Рисунок 48. Настройка directory partitions

    6. Нажмите кнопку Containers, в окне Select Containers снимите все чекбоксы кроме
    GalSynchronization.

    7. Нажмите OK и Next.

    clip_image034

    Рисунок 49. Выбор контейнеров

    8. В окне Configure GAL нажмите кнопку Target

    В меню выберите DC=nwtraders,DC=msft.

    Нажмите кнопку Containers.

    Выберите и разверните организационную единицу DF и отметьте чекбокс на организационной единице Contacts – в этой организационной единице будут создаваться контакты из домена DF.

    clip_image036

    Рисунок 50. Настройка контейнеров для синхронизации

    9. Нажмите Ок два раза.

    10. Нажмите кнопку Source. Здесь нужно выбрать источник данных ( тот контейнер из
    которого агент будет брать пользователей и создавать контакты в целевом домене)

    11. Нажмите Add Containers и укажите организационную единицу nwtraders и все в нее
    вложенные, нажмите Ок два раза.

    clip_image038

    Рисунок 51. Настройка контейнеров для синхронизации

    12. Далее в разделе Exchange configuration, нажмите кнопку Edit и укажите суффикс электронной почты, для которого должны обрабатываться данные @nwtraders.msft. (Суффикс указывается с символом @)

    13. Нажмите Add почтовый суффикс будет добавлен в список суффиксов. Нажмите Ок.

    clip_image040

    Рисунок 52. Указание суффикса

    14. Отметьте чекбокс Support cross forest delegation (Exchange 2007 only).

    clip_image042

    Рисунок 53. Конфигурация раздела GAL

    15. Нажмите Next.

    16. В следующем окне Select Object Types оставляем все параметры по умолчанию,
    нажимаем Next.

    17. В следующем окне Select Attributes оставляем все параметры по умолчанию,
    нажимаем Next.

    18. В следующем окне Configure Connecter Filter проверяем, в ниже перечисленных
    параметрах установлено значение Rules extension в разделе Filter Type.
    msExchDynamicDistributionList / user / contact / group

    19. Нажимаем Next.

    clip_image044

    Рисунок 54. Настройка фильтров

    20. В следующем окне Configure Join and Projection Rules оставляем все параметры по
    умолчанию,нажимаем Next.

    21. В следующем окне Configure Attribute Flow оставляем все параметры по
    умолчанию,нажимаем Next.

    22. В окне Configure Deprovisioning проверяем, что отмечено значение Determine with a rules extension. Другие значение не отмечены.

    23. Нажмите Next.

    clip_image046

    Рисунок 55. Конфигурация Deprovisioning

    24. В окне Configure Extensions проверьте, что выбрана библиотека GALSync.dll, отметьте чекбокс Enable Exchange 2007 provisioning.

    25. Нажмите Next затем Finish.

    clip_image048

    Рисунок 56. Настройка раздела Extensions

    Настройка агента для домена nwtraders.msft практически завершена, нам осталось сконфигурировать запуск агента. Мы это сделаем позже.

    clip_image050

    Рисунок 57. Завершение настройки агента для домена nwtraders.msft

    После настройки агента для домена nwtraders.msft конфигурируем агента для домена df.local, принципиальных отличий в настройках нет, за исключением выбираемых контейнеров.

    1. Выбираем Management Agents—>Create. Указываем в разделе Management Agent for
    параметр Active Directory global address List (GAL), указываем имя агента в разделе
    Name: DFGALMA.

    2. Далее нажмите Next.

    clip_image052

    Рисунок 58. Создание агента для домена DF

    3. На странице Connect to Active Directory Forest укажите реквизиты подключения к лесу
    df.local. Укажите следующие значения и нажмите Next:

    Forest name: df.local

    User name: dfagent

    Domain: df.local

    clip_image054

    Рисунок 59. Установка реквизитов подключения

    4. В окне Configure Directory Partitions отметьте следующие значения.

    В разделе Select directory partitions отметьте чекбокс DC=nwtraders,DC=msft,

    clip_image056

    Рисунок 60. Конфигурация Directory Partitions

    5. Нажмите кнопку Containers, в окне Select Containers снимите все чекбоксы кроме GalSynchronization.

    6. Нажмите OK и Next.

    clip_image058

    Рисунок 61. Выбор организационных единиц

    7. В окне Configure GAL нажмите кнопку Target

    В меню выберите DC=df,DC=local.

    8. Нажмите кнопку Containers.

    Выберите и разверните организационную единицу NWTRADERS и отметьте чекбокс на организационной единице Contacts – в этой организационной единице будут создаваться контакты из домена NWTRADERS.

    clip_image060

    Рисунок 62. Настройка контейнера назначения

    9. Нажмите Ок два раза.

    10. Нажмите кнопку Source. Здесь нужно выбрать источник данных ( тот контейнер из
    которого агент будет брать пользователей и создавать контакты в целевом домене)

    11. Нажмите Add Containers и укажите организационную единицу DF и все в нее вложенные нажмите Ок два раза.

    clip_image062

    Рисунок 63. Настройка контейнеров источников

    12. Далее разделе Exchange configuration, нажмите кнопку Edit и укажите суффикс
    электронной почты для которого должны обрабатываться данные @df.local. (Суффикс
    указывается с символом @) Так, как это тестовый стенд в целях тестирования у меня
    указан локальный суффикс домена.

    13. Нажмите Add почтовый суффикс будет добавлен в список суффиксов. Нажмите Ок.

    clip_image064

    Рисунок 64. Настройка суффикса

    14. Отметьте чекбокс Support cross forest delegation (Exchange 2007 only).

    clip_image066

    Рисунок 65. Настройка раздела GAL

    15. Нажмите Next.

    16. В следующем окне Select Object Types оставляем все параметры по умолчанию,
    нажимаем Next.

    17. В следующем окне Select Attributes оставляем все параметры по умолчанию,
    нажимаем Next.

    18. В следующем окне Configure Connecter Filter проверяем, в ниже перечисленных
    параметрах установлено занчение Rules extension в разделе Filter Type. msExchDynamicDistributionList / user / contact / group

    19. Нажимаем Next.

    clip_image044[1]

    Рисунок 66. Настройка фильтров

    20. В следующем окне Configure Join and Projection Rules оставляем все параметры по
    умолчанию,нажимаем Next.

    21. В следующем окне Configure Attribute Flow оставляем все параметры по
    умолчанию,нажимаем Next.

    22. В окне Configure Deprovisioning проверяем что отмечено значение Determine with a
    rules extension
    . Другие значение не отмечены.23. Нажмите Next.

    clip_image046[1]

    Рисунок 67. Конфигурация раздела Deprovisioning

    24. В окне Configure Extensions проверьте, что выбрана библиотека GALSync.dll, отметьте чекбокс Enable Exchange 2007 provisioning.

    25. Нажмите Next затем Finish.

    clip_image067

    Рисунок 68. Настройка раздела Extension

    Настройка агента для домена df.local практически завершена, мы успешно создали два агента синхронизации для наших доменов и теперь нам осталось сконфигурировать запуск агентов для автоматической синхронизации адресных книг.

    clip_image069

    Рисунок 69. Процесс настройки агентов завершен

    О настройке параметров автоматического запуска агентов,запуска процесса синхронизации, и его тестирования, поговорим в следующей части данной статьи.

    И так в предыдущих частях данной статьи мы выполнили ряд шагов по настройке:

    • Настроили разрешение имен между доменами;
    • Создали необходимые организационные единицы;
    • Создали необходимые учетные записи, включили их в нужные группы;
    • Делегировали учетным записям доступ на организационные единицы;
    • Создали агентов для целевых доменов.

    Пришло время настроить автоматическую синхронизацию агентов и провести полную синхронизацию данных из целевых доменов в метаверсию агентов.

    Но для начала мы создадим несколько тестовых учетных записей с почтовыми ящиками в целевых доменах. Для этого идем на наш сервер Exchange 2007 установленный в домене nwtraders.msft

    1. Запускаем консоль Exchange Management Console

    2. Создаем пользователей с почтовыми ящиками в домене Nwtraders и размещаем их в
    организационной единице GalSynchronization—>Nwtraders—>Users (Домен nwtraders.msft)

    NWUser1

    NWUser2

    clip_image071

    Рисунок 70. Создание пользователей с почтовыми ящиками в домене nwtraders.msft

    Проверяем, что пользователи созданы в организационной единице GalSynchronization—> Nwtraders–>Users

    clip_image073

    Рисунок 71. Просмотр пользователей в организационной единице в домене nwtraders.msft

    3. После создания учетных записей в домене nwtraders.msft идем на сервер Exchange 2007
    установленные в домене df.local

    4. Запускаем консоль Exchange Management Console

    5. Создаем пользователей с почтовыми ящиками в домене df.local и размещаем их в
    организационной единице GalSynchronization—>df—>Users (домен df.local)

    DFUser1

    DFUser2

    clip_image075

    Рисунок 72. Создание пользователей с почтовыми ящиками в домене df.local

    Проверяем, что пользователи созданы в организационной единице GalSynchronization—> df–>Users

    clip_image077

    Рисунок 73. Просмотр пользователей в организационной единице в домене df.local

    На данном этапе у нас в каждом домене создано несколько тестовых пользователей с почтовыми ящиками. Теперь нам нужно произвести синхронизацию агентов ILM 2007 FP1, которые в свою очередь создадут контакты в целевых доменах.

    Какие типы синхронизации существуют в ILM 2007 FP1?

    Delta Import
    Все изменившиеся данные в источнике синхронизируются с метаверсией конектора ILM 2007 FP1

    Delta Import (Stage Only)
    Все изменившиеся данные в источнике проверяются и подготавливаются для синхронизации с метаверсией конектора ILM 2007 FP1.

    Delta Synchronization
    После изменения данных в источнике, данные подготавливаются и синхронизируются с метаверсией конектора ILM 2007 FP1 по средствам входящей синхронизации, также производится исходящая синхронизация из метаверсии конектора ILM 2007 FP1 в источник.

    Export
    Все данные подготовленные в метаверсии конектора для экспорта выгружаются в источник.

    Full Import
    Все данные выгружаются из источника в метаверсию конектора ILM 2007 FP1

    Full Import (Stage Only)
    Все данные из источника проверяются и подготавливаются для синхронизации с метаверсией конектора.

    Full Import and Full Synchronization
    Все данные из источника синхронизируются с метаверсией конектора ILM 2007 FP1 по средствам входящей синхронизации, все данные из метаверсии конектора ILM 2007 FP1 синхронизируются с источником.

    Full Synchronization
    Все подготовленные данные в метаверсии конектора ILM 2007 FP1 синхронизируются с источником.

    Настало время выполнить синхронизацию объектов, для этого нам потребуются выполнить следующие операции:

    · Full Import (Staging Only)

    · Full Synchronization

    · Export

    · Delta Import

    В начале эти операции нужно выполнить для каждого агента по очереди. На первом этапе мы выполним их в ручную.

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте NwtradersGALMA выбираем Run.

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Full Import (Stage Only).
    2. Нажимаем OK.

    clip_image079

    Рисунок 74. Full Import (Stage Only) для агента NwtradersGALMA

    1. Результат выполнения Full Import (Stage Only) для агента NwtradersGALMA .
      clip_image081

    Рисунок 75. Результат выполнения Full Import (Stage Only) для агента NwtradersGALMA

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте DFGALMA

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Full Import (Stage Only).
    2. Нажимаем OK.

    clip_image083

    Рисунок 76. Full Import (Stage Only) для агента DFGALMA

    1. Результат выполнения Full Import (Stage Only) для агента DFGALMA.

    clip_image085

    Рисунок 77. Результат выполнения Full Import (Stage Only) для агента DFGALMA

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте NwtradersGALMA выбираем Run

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Full synchronization.
    2. Нажимаем OK.

    clip_image087

    Рисунок 78. Full synchronization для агента NwtradersGALMA

    1. Результат выполнения Full Synchronization для агента NwtradersGALMA.

    clip_image089Рисунок 79.Результат выполнения Full Synchronization для агента NwtradersGALMA

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте DFGALMA

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Full Synchronization.
    2. Нажимаем OK.

    clip_image091

    Рисунок 80.Рисунок 75 Full synchronization для агента DFGALMA

    1. Результат выполнения Full Synchronization для агента DFGALMA
      clip_image093

    Рисунок 81.Результат выполнения Full Synchronization для агента DFGALMA

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте NwtradersGALMA выбираем Run.

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Export.
    2. Нажимаем OK.

    clip_image095

    Рисунок 82. Export для агента NwtradersGALMA

    1. Результат выполнения Export для агента NwtradersGALMA
      clip_image097

    Рисунок 83. Результат выполнения Export для агента NwtradersGALMA

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте DFGALMA

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Export.
    2. Нажимаем OK.

    clip_image099

    Рисунок 84. Export для агента DFGALMA

    1. Результат выполнения Export для агента DFGALMA


    clip_image101Рисунок 85. Результат выполнения Export для агента DFGALMA

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте NwtradersGALMA выбираем Run

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Delta Import.
    2. Нажимаем OK.

    clip_image103

    Рисунок 86. Delta import для агента NwtradersGALMA

    1. Результат выполнения Delta import для агента NwtradersGALMA
      clip_image105

    Рисунок 87. Результат выполнения Delta import для агента NwtradersGALMA

    Идем в свойства агента для этого жмем правой кнопкой мыши на агенте DFGALMA

    1. В окне Management Agent, в разделе in Run Profiles, выбираем Delta Import.
    2. Нажимаем OK.

    clip_image107

    Рисунок 88. Delta import для агента DFGALMA

    1. Результат выполнения Delta import для агента DFGALMA
      clip_image109

    Рисунок 89. Результат выполнения Delta import для агента DFGALMA

    После завершения процесса синхронизации наши контакты успешно созданы в целевых доменах, откроем оснастку Active Directory Users and Computers в домене nwtraders.msft и убедимся что это так.

    clip_image111

    Рисунок 90. Созданные контакты после синхронизации

    Контакты так же отображаются в консоли Exchange Management Console.

    clip_image113

    Рисунок 91. Отображение контактов в консоли Exchange

    Контакты созданы, а это означает, что наш сервер ILM 2007 FP1 успешно синхронизирует контакты в целевых доменах. Теперь нам нужно автоматизировать процесс синхронизации. Процесс настраивается банально просто. Выгружается скрипт и засовывается во встроенный планировщик заданий Windows.

    Идем в свойства агента NWtradersGALMA выбираем пункт Configure Run Profiles

    Нажимаем New Profile, вводим имя NwtradersGALMASync,

    Нажимаем Next

    clip_image115

    Рисунок 92. Указание имени профиля

    В разделе Specify step type выбираем Full Import (Stage only),

    Нажимаем Next и Finish.

    clip_image117

    Рисунок 93. Конфигурация шагов профиля

    Далее нажимаем кнопку New Step

    В разделе Specify step type выбираем Full Synchronization,

    clip_image119

    Рисунок 94. Выбор типа синхронизации

    Нажимаем Next и Finish.

    Повторяем те же шаги для типов синхронизации Export и Delta Import.

    В итоге получаем схему из четырех шагов, далее нажимаем кнопку Script и сохраняем скрипт в папку c:\scripts\NwtradersGALMASYnc.vbs

    clip_image121

    Рисунок 95. Профиль для агента NwtradersGALMA

    Далее необходимо полученный скрипт засунуть в шедулер Windows Server и настроить запуск по расписанию. Повторите шаги по созданию скрипта для второго агента DFGALMA.

    Сам по себе продукт Microsoft Identity Lifecycle Manager 2007 FP1 является мощным функциональным и одновременно с тем сложным инструментом для организации разного рода взаимодействия гетерогенных каталогов. Предоставляет уникальный набор инструментов синхронизации и управления учетными записями между разными платформами.

    Если у Вас небольшая организация и Вам необходимо использовать синхронизацию контактов и ничего более, то развертывание данного продукта может оказаться не совсем целесообразным и тривиальным решением для вашей среды.

    В таком случае рекомендую ознакомиться со статьей Ильи Сазонова, в которой он детально описывает процесс синхронизации по средствам скрипта написанного на Powershell. Это решение, возможно, покроет все ваши требования по синхронизации учетных записей.

    Ссылка на статью:

    http://www.itcommunity.ru/blogs/sie-wl/archive/2009/09/23/77683.aspx

    Ссылка на блог Ильи Сазонова:

    http://sazonov.spaces.live.com/blog/cns!C80884C5BEC6A15D!199.entry

    Денис Абраменко

Комментарии

  1. Признаюсь честно, пока что до конца читать не осилил.
    У Вас хорошие, фундаментальные статьи (статья по Hyper-V очень понравилась), но такие длинные статьи IMHO нужно бить на части. Потому что прочесть в один присест столько текста с экрана немного напряжно 🙂

  2. По поводу выкладки. Это мануал с форматом step-by-step и читать его будет только тот, кому нужно такое реализовать. А им как раз присутсвие нескольких частей совсем не нужно. Единственное чего не хватает, это PDF, но по мере наличия времени я прикручу.

  3. Уважаемый Денис!
    Если я Вас ни с кем не путаю, то на cna.ru Вы писали -что вам удалось снюхать eDirectory (NDS, Novell 6 или 6.5) и AD, еще с помощью MIIS делал 2 или 3 многодневные попытки сделать такое, чтоб записи сихронизировались и пароли. Не вышло:(. А хотелка осталась. Это наглость, но не напишете ли статью подобную этой про такое?

  4. Нет не путаете, сейчас пишу статью на эту тему 🙂

  5. Комрад, даже если лень будет написать-респектище за само намерение!
    Мозгу мало самому сделать-так хоть с помощью статейки!

  6. Простите, а где можно увидеть саму статью?

  7. Сегодня поправим. При перезде видимо потерялась.

  8. Как заставить MIIS при синхронизации более 2-х доменов выкладывать контакты вразные подпапки? Т.е. к примеру 4 агента (4 леса синхронизируем) в корневой папке contact создается 3 подпапки и в каждой по имени агента(к примеру) загружаемые от туда контакты. А высщий пилотаж вообще дублировать структуру AD удаленного леса (если к примеру AD дублирует орг.структуру предприятия) и туда раскладывать контакты.. Вот как это реализовать 🙂 Ведь MIIS это “теоретически” может..

  9. Посмотрите, пожалуйста, мою утилиту для синхронизации контактов ContactsADGenerator (CADG2). Она уже протестирована на домене с 12К контактов и, надеюсь, гораздо проще в освоении, чем MIIS, ILM и т.п.
    Правда мануала пока нет 🙂
    http://forum.ru-board.com/topic.cgi?forum=2&topic=4011#1

  10. Статья отличная, отдельная благодарность за step-by-step, хочу попробовать внедрить. Возникли правда вопросы, будет ли происходить корректная синхронизация, если в одном домене Exchange 2007, а во втором 2003? И насколько я помню, при ручной синхронизации посредством выгрузки/загрузки средствами csvde, в 2007 Exchange контакты отображаются, но не имеют статуса Enable, и приходится по ним проходить дополнительным скриптиком, или командлетом. Отсюда вопрос, будут ли контакты Enable при синхронизации из Exchange 2003 в 2007?

  11. Добрый день, немного запоздало, но только у вас я могу получить ответ 🙂
    очень рассчитываю на вашу помощь,

    Если следовать инструкции я застрял на пункте:

    “Идем в свойства агента для этого жмем правой кнопкой мыши на агенте NwtradersGALMA”

    ” В окне Management Agent, в разделе in Run Profiles, выбираем Export.

    Результат операции adds=0, Update =0 … и т.д. все равно 0, хотя выполняется без ошибок. Все предыдущие выполнялись удачно и были импортированы все необходимые атрибуты объектов. Т.е. в базе IDM существую объекты с одного и другого леса.

  12. опечатка

    … устанавливать подлинность и управлять __И__дентификационными данными из разных связанных между собой хранилищ….