Главная Exchange/UC, Windows, Без рубрики, Новое Синхронизация глобальных списков адресов (GAL) в различных организациях Exchange с использованием Forefront Identity Manager 2010
  • Синхронизация глобальных списков адресов (GAL) в различных организациях Exchange с использованием Forefront Identity Manager 2010

    logo Очень часто многие организации исторически имеют филиалы развитие IT инфрастуктуры в которых происходило совершенно не зависимо от центра. Как правило, IT Инфрастуктура филиала управляется командой местных специалистов. Но наступает момент, когда бизнесу для реализации задач требуется инструмент, который позволит более оперативно решать возникающие задачи.

    Я думаю не секрет что, чем больше мы имеем Exchange организаций находящихся в разных лесах, тем больше возникает проблем при обмене контактных данных получателей. Обычно обмен происходит не регулярно и ни как не застраховывает от ошибок в контактных данных или не правильном заполнении информации о получателе. Как правило, обнаруживать подобные ошибки очень трудоёмко при большом количестве пользователей, и локальный IT отдел узнает о ней когда пользователю в ответ на его письмо, посланное в другой филиал возвращается NDR J

    Обычно используется несколько методов для обмена данными для синхронизации списков GAL:

    1. Использование различных скриптов для выгрузки существующих пользователей через LDAP и автоматического создания контактов в организации получателя. Язык скриптов может быть различен. Есть примеры на VB и PowerShell

    2. Использование рекомендуемого средства по синхронизации GAL, Forefront Identity Manager 2010

    Примеров первого метода достаточно много в интернете и при внимательном поиске не составит труда обнаружить примеры.

    Я бы хотел рассказать о использовании второго метода.

    Мы имеем три различные Exchange организации использующие различные версии Exchange Server расположенные каждый в своем лесу и имеющие различные наименования доменов.

    Домен 1 – Exchange2003

    Имя домена – Filial.Company.com

    Контроллер домена – DC2003

    Exchange Server – Exch2003

    Forefront Identity Server -FIM 2010

    Домен 2 – Exchange 2007

    Имя домена – old.name.Company.ru

    Контроллер домена – MSK-DC

    Exchange Server – MSK-E2007

    Домен 3 – Exchange 2010

    Имя домена – trader.company.local

    Контроллер домена – DC01

    Exchange Server – Trader-E2010

    Структурная схема организаций представлена ниже.

    Схема

    clip_image002

    Для корректной синхронизации контактов должны быть выполнены несколько требований:

    1. Между всеми организациями необходимо настроить разрешение имен DNS. Данная процедура хорошо описана во многих источниках по этому не будем останавливаться на ней. Для ознакомления с материалом можно ознакомиться с данной статьей http://technet.microsoft.com/en-us/library/cc754941.aspx

    2. Для успешной синхронизации между Exchange Server и FIM 2010 должны быть открыты следующие порты

    Service

    Protocol

    Port

    LDAP

    TCP/UDP

    389

    Kerberos

    TCP/UDP

    88

    DNS

    TCP/UDP

    53

    3. Для синхронизации Exchange 2003, Данная организация должна иметь на сервере Exchange Server с SP2. Так же данная организация должна быть переведена в режим Native Mode. Учетной записи FIM 2010 должны быть предоставлены права Exchange Administrator.

    3.2 Для синхронизации Exchange 2007 на сервер должен быть установлен Exchange 2007 SP2. Учетной записи FIM 2010 должны быть предоставлены права Recipient Administrator.

    3.3 Для синхронизации Exchange 2010 учетной записи FIM 2010 должны быть предоставлены права Recipient Management.

    Для начала необходимо создать в каждой организации учетную запись для коннекта Management Agent FIM 2010 делегировать ей необходимые права .

    1. Создаем в каждом домене учетную запись вида FIM_Filial_Name, после создания отмечаем Password Newer Expires

    clip_image003

    После этого в Active Directory каждого филиала необходимо создать структуру OU для синхронизации контактов. Рекомендовано создавать структуру следующего вида

    clip_image005

    Где OU Filial.Company.com отображает организационную структуру домена

    OU Contacts – Содержит контакты пользователей Exchange Server из других организаций

    OU Groups – Содержит группы Exchange Server

    OU Users – Содержит учетные записи пользователей

    Подобную структуру необходимо создать во всех организациях. К примеру для домена old.name.company.ru

    clip_image007

    После создания структуры OU во всех организациях необходимо приступить к назначению необходимых прав для созданной ранее учетной записи FIM_Filial_Name. Перед этим на всех DC с OC Windows 2003 необходимо установить Support Tools нам потребуется компонент ADSI Edit.

    Предоставление прав Replicate Directory Changes permissions

    1. Открываем Active Directory Users and Computers

    2. В закладке View, нажимаем Advanced Features.

    3. Нажимаем на доменный объект, Filial.Company.com, и нажимаем Properties.

    4. Выбираем закладку Security далее Advanced

    5. Добавляем ранее созданный аккаунт FIM_Filial_Name через кнопку Add.

    6. Нажимаем OK появляется окно назначения прав.

    8. Прокручиваем окно в низ и ставим галку на против Replicate Directory Changes.

    9. Затем нажимаем Apply, и OK.

    Далее выполняем предоставление прав Write proxyAddresses

    1. Открываем adsiedit.msc

    2. В поле Domain раскрываем структуру до объекта GalSynchronization

    3. Нажимаем на доменный объект, Filial.Company.com, и нажимаем Properties.

    4. Выбираем закладку Security далее Advanced

    5. Добавляем ранее созданный аккаунт FIM_Filial_Name через кнопку Add.

    6. Нажимаем OK появляется окно назначения прав.

    8. Переключаемся с поля Objects на поле Properties .

    9. В разделе apply onto: Выбираем Child objects only

    10. Прокручиваем список Permissions в низ, ищем Write proxyAddresses

    11. Отмечаем чекбокс на против Allow

    12. Нажимаем OK

    Далее выполняем предоставление прав Full Control permissions для всех объектов в TEMP_OU

    1. Открываем Active Directory Users and Computers

    2. В закладке View, нажимаем Advanced Features.

    3. Нажимаем на доменный объект, TEMP_OU, и нажимаем Properties.

    4. Выбираем закладку Security далее Advanced

    5. Добавляем ранее созданный аккаунт FIM_Filial_Name через кнопку Add.

    6. Нажимаем OK появляется окно назначения прав.

    8. В разделе apply onto: Выбираем Child objects only

    9. Выставляем Full Control

    10. Нажимам OK

    Далее создаем аналогичную структуру OU в каждой организации и повторяем вышеперечисленные действия для каждой организации.

    После этого необходимо добавить учетную запись FIM_Filial_Name в группу Exchange Recipient Administrators при использовании Exchange 2007.

    clip_image009

    В Exchange 2003 делегируем права Exchange Administrator

    clip_image011

    В Exchange 2010 добавляем пользователя FIM_Filial_Name в группу Recipient Management

    clip_image013 Подготовительные работы окончены. Теперь приступаем к настройке Forefront Identity Manager 2010:

    Для этого мы в домене с Exchange 2003 выделили сервер с OC Windows 2008 R2 Enterprise Editions, Установили SQL Server 2008 Standart Edition SP1 и установили компонент Synchronization Services из списка компонентов Forefront Identity Manager 2010. После установки необходимо установить SP1 на компонент Synchronization Services. Как его скачать более подробно описано тут http://social.technet.microsoft.com/Forums/en-US/ilm2/thread/b21e08a5-d2be-4bf1-a53f-248b5a9cc6e3

    После установки Forefront Identity Manager 2010 необходимо установить Management Tools for Exchange 2007. Так же на данный сервер должны быть установлены следующие компоненты:

    1. Exchange 2007 Sp2 – Данный компонент необходимо устанавливать после инсталляции Management Tools for Exchange 2007

    2. PowerShell 2.0 – Данный компонент необходим для взаимодействия с Exchange 2010

    Приступаем к созданию Management Agents. Открываем Synchronization Service, переходим в Management Agents, в правом углу нажимаем Create. После этого в поле Management agent for: выбираем Active Directory global address list (GAL)

    clip_image015

    В поле Name вводим имя домена, в нашем случае Filial.Company.com нажимаем Next

    Заполняем все указанные ниже поля

    clip_image017

    Отмечаем чекбокс в поле Select Directory Partition

    clip_image019

    Далее нажимаем чекбокс Containers. В нем отмечаем только OU GalSynchronization и его содержимоеclip_image021

    Нажимаем OKclip_image023

    Выбираем контейнер Target отмечаем TEMP_OU

    clip_image024

    Далее в чекбоксе Source выбираем

    clip_image025

    В поле Exchange Configuration нажимаем Edit и добавляем E-Mail Suffix вида @ Filial.Company.com

    Далее нажимаем OK и Next

    clip_image027

    Нажимаем Next

    clip_image029

    Нажимаем Next

    clip_image031

    Нажимаем Next

    clip_image033

    В поле user выбираем Rules extension и нажимаем Next

    clip_image035

    Нажимаем Next

    clip_image037

    Нажимаем Nextclip_image039

    Проверяем что стоит Determine with a rules extension и нажимаем Next

    clip_image041

    Проверяем что стоит Provision for: No provisioning. Нажимаем Finish

    Management Agent для Exchange 2003 создан.

    Затем в меню Forefront Identity Manger переходим в меню Tools далее Options. Отмечаем Enable Provisioning Rules Extension

    clip_image042

    По изложенному примеру создаем Management Agent для Exchange 2007. В конце создания Management Agent в поле Provision for: выбираем Exchange 2007

    clip_image044

    Для Exchange 2010 перед созданием Management Agent

    Необходимо проверить работу Remote PowerShell

    Запускаем Windows PowerShell Modules

    Используя команду

    $rs = new-pssession -conf microsoft.exchange -conn http://CAS_SERVER_NAME/powershell -auth kerberos -cred (get-credential)

    Соединяемся с CAS Server на Exchange 2010 вводим учетную запись Management Agent

    После этого проверяем результат командой

    Invoke-Command $rs {get-recipient –ResultSize 1}

    Если тест прошел без ошибок создаем Management Agent для Exchange 2010, в конце указываем URL к нашему CAS

    clip_image046

    После создания Management Agent на каждом агенте последовательно через Run запускаем Full Import (Stage Only)Gclip_image048

    После выполнении команды последовательно запускаем Full Synchronization

    clip_image050

    Далее на каждом Management Pack запускаем Export

    clip_image052

    После чего дожидаемся результатов экспорта. При корректной настройке в EMC Exchange Server в разделе Recipient Configuration – Contacts мы увидим контакты из других Exchange организаций.

    После каждого выполнения команды Export желательно заглядывать в Event Log-Application, так мы можем отследить возникающие ошибки.

    Материалы использованные при подготовке:

    http://technet.microsoft.com/en-us/magazine/ff472471.aspx

    http://technet.microsoft.com/en-us/magazine/ff472471.aspx

    http://social.technet.microsoft.com/wiki/contents/articles/current-forefront-identity-manager-resources.aspx

     

    Sergey Kalinin

Комментарии

  1. Хотелось бы сказать, что существует и третий, бесплатный способ синхронизации GAL – Использование бесплатного компонента MIIS 2003 – IIFP. Нормально работает с Exchange 2003-2007, при использовании с Exchange 2010 есть ряд ограничений.

  2. Хотелось бы сказать, что существует и четвёртый, и пятый, и шестой итд. способы синхронизации GAL. Софта, который делает синхронизацию хватает.

  3. OU Contacts – Содержит контакты пользователей Exchange Server из других организаций
    OU Groups – Содержит группы Exchange Server
    OU Users – Содержит учетные записи пользователей

    Не совсем понятно, зачем создавать контейнеры OU Groups и OU Users ?

  4. В OU Groups должны быть Distribution Group которые мы синхронизируем. В OU Users учетные записи пользователей.
    Данная структура является рекомендованной и может различаться в зависимости от business Requirements компании.

  5. т.е. в OU Users я должен поместить всех пользователей своего домена которых я хочу синхронизировать с другими организациями. А если мне нужно синхронизировать всех 3000 пользователей, которые раскиданы по разным контейнерам, к которым применены разные политики, это же неудобно. Как быть в таком случае?
    И можно ли зашедулить данную процедуру синхронизации? Чтобы не проделывать ее вручную.

  6. Не обязательно. В случае раскиданных OU нужно отмечать данные OU в разделе Containers – Раздел Configuring Directory Partition при создании Management agent

  7. Aloha!czrs! http://folaeo.com flfxr dfqwd

  8. Добрый день товарищи. Мне в наследство достался FIM 2010 там все было уже настроено Просто довженко синхронизация не запускается. Вот на днях я посмотрел ролик на technet.com и руководствуясь этим роликом запустил синхронизацию и сильно ошибся. FIm заново всё синхронизировал все контакты создались заново. Теперь когда пользователей из одного домена посылает письмо в другой ему возвращается NDR писмо что этого ползовотеля не сушествует Это потому что outlook еще раньше сохранил адрес получателя у себя. Когда руками удалаеш получателя из suggested contacts и заново находит его в адресной книге и посылаешь майл тогда писмо доходит. Так вот как я запускал синхронизатчию
    1. Full Import (Staging Only)
    2. Full Synchronization
    3. Export
    4. Full Import (Staging Only)

    тепер как запустить синхронизацию чтобы выше упомянутое не повторилось а синхронизировались только новые пользователи?

  9. Delta Import
    Full Synchronization
    Export