Синхронизация адресных книг нескольких доменов с помощью MS Identity Manager (концепция, на практике хуй че работает)
Добавлено: 10 апр 2017, 20:20
Установка FIM (server 2012, FIM2016)
Ставим систему, 2012 сервер. Вводим в домен.
Ставим dotNet3.5 , dotNet4
Включить роль IIS, 7 или выше.
Ставим SQL server, full-text search feature, и management studio к нему.
Создам служебную учётную запись в обоих лесах fimacc и fimserv, с членством в DomainUsers, DomainAdmins, OrganizationManagement, RecipientManagement.
Дополнительно к имеющимся правам дадим право Replicating Directory Changes командой dsacls dc=contoso,dc=com" /G contoso\fimacc:CA;"Replicating Directory Changes".
Создаем в AD группы для FIM, в том домене, где сам FIM сервер.
New-ADGroup –name FIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncAdmins
New-ADGroup –name FIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncOperators
New-ADGroup –name FIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncJoiners
New-ADGroup –name FIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncBrowse
New-ADGroup –name FIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncPasswordSet
Add-ADGroupMember -identity FIMSyncAdmins -Members Administrator
Add-ADGroupmember -identity FIMSyncAdmins -Members fimserv
Add-ADGroupmember -identity FIMSyncAdmins -Members fimacc
Запускаем установку дистрибутива FIM
Сперва Identity Manager Synchronization Service
На этапе привязки групп оставьте по умолчанию. Не приписывайте к ним домен.
Во время установки появляется уведомление о создании архива ключа шифрования. Нажмите кнопку OК, а затем выберите папку для сохранения архива.
Запустите сервис или перезагрузитесь.
Далее Identity Manager Service and Portal
Выбрать только MIM Service (без репортинга). Далее создать новую базу, введя имя сервера в формате servername\sqlinstance (localhost\SQLEXPRESS).
Далее, если у вас нет mail сервера, введите localhost, и выключите флажки.
Сертификат самоподписанный.
Далее сервисные аккаунты: сперва fimserv, потом fimacc.
Создать на FIM сервере группу MIISAdmins, добавить туда fimacc, группу FIMSyncAdmins, а так же свой аккаунт(опционально), под которым логинитесь.
Запускаем SyncronizationManager, создаем новых агентов для кроссмиграции контактов. Выбираем нужные контейнеры, откуда забирать и куда складывать, указываем в качестве логина наш fimacc, для каждого леса свой, и в конце указываем путь к Exchange PowerShell, обязательно через fqdn (ip адреса не будут работать).
Запускаем Run->FullSync, Run->Export. И вот тут начинается ебаная магия, у меня синхронизация сработала, а вот экспорт выдал эксцепшен, а в логах AccessDenied. И куда там пытался этот акцесс, и почему словил денайд, хер его знает, говномайкрософт отлично постарался сделать траблшуттинг максимально непонятным и недоступным. Так что... вопрос открыт.
Ставим систему, 2012 сервер. Вводим в домен.
Ставим dotNet3.5 , dotNet4
Включить роль IIS, 7 или выше.
Ставим SQL server, full-text search feature, и management studio к нему.
Создам служебную учётную запись в обоих лесах fimacc и fimserv, с членством в DomainUsers, DomainAdmins, OrganizationManagement, RecipientManagement.
Дополнительно к имеющимся правам дадим право Replicating Directory Changes командой dsacls dc=contoso,dc=com" /G contoso\fimacc:CA;"Replicating Directory Changes".
Создаем в AD группы для FIM, в том домене, где сам FIM сервер.
New-ADGroup –name FIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncAdmins
New-ADGroup –name FIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncOperators
New-ADGroup –name FIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncJoiners
New-ADGroup –name FIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncBrowse
New-ADGroup –name FIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName FIMSyncPasswordSet
Add-ADGroupMember -identity FIMSyncAdmins -Members Administrator
Add-ADGroupmember -identity FIMSyncAdmins -Members fimserv
Add-ADGroupmember -identity FIMSyncAdmins -Members fimacc
Запускаем установку дистрибутива FIM
Сперва Identity Manager Synchronization Service
На этапе привязки групп оставьте по умолчанию. Не приписывайте к ним домен.
Во время установки появляется уведомление о создании архива ключа шифрования. Нажмите кнопку OК, а затем выберите папку для сохранения архива.
Запустите сервис или перезагрузитесь.
Далее Identity Manager Service and Portal
Выбрать только MIM Service (без репортинга). Далее создать новую базу, введя имя сервера в формате servername\sqlinstance (localhost\SQLEXPRESS).
Далее, если у вас нет mail сервера, введите localhost, и выключите флажки.
Сертификат самоподписанный.
Далее сервисные аккаунты: сперва fimserv, потом fimacc.
Создать на FIM сервере группу MIISAdmins, добавить туда fimacc, группу FIMSyncAdmins, а так же свой аккаунт(опционально), под которым логинитесь.
Запускаем SyncronizationManager, создаем новых агентов для кроссмиграции контактов. Выбираем нужные контейнеры, откуда забирать и куда складывать, указываем в качестве логина наш fimacc, для каждого леса свой, и в конце указываем путь к Exchange PowerShell, обязательно через fqdn (ip адреса не будут работать).
Запускаем Run->FullSync, Run->Export. И вот тут начинается ебаная магия, у меня синхронизация сработала, а вот экспорт выдал эксцепшен, а в логах AccessDenied. И куда там пытался этот акцесс, и почему словил денайд, хер его знает, говномайкрософт отлично постарался сделать траблшуттинг максимально непонятным и недоступным. Так что... вопрос открыт.