Синхронизация глобальных списков адресов (GAL) с использованием ILM 2007 FP1

Денис Абраменко

Сегодня мы поговорим о том, как настроить синхронизацию адресных книг (GAL) между двумя лесами средствами Microsoft Identity Lifecycle Manager 2007 FP1. Очень часто в крупных сетях требуется объединить несколько почтовых организаций в единый Global Address List. При этом обоснование очень простое «это требуется бизнесу». Ну, надо так надо.

Немного об ILM.

Microsoft Identity Lifecycle Manager (ILM)* *– программное решение, позволяющее ИТ-организациям снизить издержки управления жизненным циклом идентификации пользователей. ILM обладает возможностями эффективного контроля доступа, обеспечивая интегрированное управление метакаталогом, сертификатами, паролями и регистрацией пользователей Windows и других корпоративных систем.

ILM включает в себя возможности продуктов Microsoft Identity Integration Server 2003 и Alacris idNexus. В пакете ILM эти продукты реализовывают функции синхронизации и метакаталога. ILM позволяет устанавливать подлинность и управлять идентификационными данными из разных связанных между собой хранилищ. ILM включает в себя свыше 30 типов агентов управления (Management Agent), которые могут без предварительной настройки использоваться для работы во многих существующих службах каталогов, базах данных, системах обработки электронной почты.

В нашем примере мы рассмотрим ситуацию, когда появилась необходимо настроить синхронизацию адресных книг между двумя разными организациями, в одной из которых развернут домен уровня Windows 2008, в другой домен уровня Windows 2003; в каждом домене развернута почтовая организация Exchange 2007.

Алгоритм работы системы должен быть следующим: в одном из доменов создается учетная запись пользователя с почтовым ящиком, автоматически в другом домене должен создаваться контакт на этого пользователя и наоборот.

Рисунок 1. Пример сложной организации Exchange с несколькими лесами

Таким образом, пользователи в своих почтовых клиентах видят все контакты из обеих организаций, что согласитесь очень удобно для рядовых сотрудников компании.

Рисунок 2. Адресная книга

Для начала я подготовил тестовую среду, в состав которой входят следующие узлы:

Сервер 1 (DC1) с установленной операционной системой Windows Server 2003 Enterprise Edition, в целях экономии ресурсов на этом же сервере установлен Exchange 2007 Service pack 2. Домен Nwtarders.msft

Сервер 2 (DC2) с установленной операционной системой Windows Server 2008 Enterprise Edition, и снова в целях экономии ресурсов на этом же сервере установлен Exchange 2007 Service pack 2. Домен Df.local

Сервер 3 (ILM) с установленной операционной системой Windows Server 2008 Enterprise Edition, на этот сервер мы установим Microsoft Identity Lifecycle Manager 2007 FP1. Данные сервер включен в состав домена nwtraders.msft.

В тестовой среде я специально использовал адреса для узлов из одной подсети.

Рисунок 3. Схема стенда для тестирования

Первым шагом на пути к синхронизации адресных книг будет настройка разрешения имен между доменами . Это можно реализовать разными способами, в данной статье мы настроим DNS forwarders в консоли DNS (нужно не забыть открыть соответствующие порты на межсетевых экранах, если вы их используете).

1. На Сервере DC1 выбираемStart—>Programs—>Administrative Tools—>DNS—>Properties—>Forwarders—>New

Рисунок 4. Настройка Forwarders

2. Указываем имя целевого домена df.local запросы, для которого будут пересылаться наDNS сервер DC2 домена df.local.

Рисунок 5. Имя домена назначения

3. Далее указываем IP - адрес контроллера домена DC2 (в моем случае это 192.168.13.147, выбор данного IP - адреса обусловлен требованиями нашей тестовой зоны).

Рисунок 6. Свойства DNS

4. Те же действия повторяем для сервера DC2 контроллера домена df.local (пересылка вWindows 2008 настраивается несколько иначе). На сервере DC2 выбираем Start—>Programs—>Administrative Tools—>DNS—Conditional Forwarders—New ConditionalForwarder.

Рисунок 7. Создание Forwarders

5. Указываем имя домена nwtraders.msft и IP-адрес сервера DC1 (в моем случае это 192.168.13.140).

Рисунок 8. Результат создания записи

После настройки разрешения имен необходимо проверить, что все серверы разрешают имена друг друга. Вторым шагом будет создание организационных единиц и учетных записей для агентов синхронизации в целевых доменах, присвоить учетным записям соответствующие права и делегировать им управление над организационными единицами.

1. Идем на контроллер домена DC1 домена nwtraders.msft.

2. Открываем оснастку Active Directory Users And Computers, выбираем домен nwtraders.msft.

3. Жмем правой кнопкой мыши на домене nwtraders.msft, выбираем пункт меню New—> Organizational Unit и создаем определенную структуру организационных единиц, как указано ниже на рисунке.

Рисунок 9. Структура организационных единиц для домена nwtraders.msft

4. После создания организационных единиц создаем учетную запись для агента домена nwtraders.msft, для этого переходим в организационную единицу Users –> Правой кнопкой мыши из контекстного меню выбираем New—> User—> Указываем имя учетной записи (Nwagent) и нажимаем Next.

Рисунок 10. Создание учетной записи для агента в домене Nwtraders.msft

5. Вводим пароль и отмечаем флажок Password never expires.

Рисунок 11. Окно ввода пароля

Теперь переходим к следующему шагу, созданию организационных единиц и делегированию разрешений на эти организационные единицы для вновь созданной учетной записи.

1. Откройте оснастку Active Directory Users and Computers на сервере DC1. Создайте структуру организационных единиц как показано на Рис. 11.

Рисунок 12. Структура организационных единиц для nwtraders.msft

Такая структура потребуется для упорядоченного хранения контактов и пользовательских учетных записей. В реальности структура организационных единиц может значительно отличаться. Главное понять идеологию.

Далее в меню ViewвыберитеAdvanced Features.

Рисунок 13. Включение Advanced Features

3. Нажмите правой кнопкой мыши на доменеnwtraders.msft, выберите пункт меню Properties.

Рисунок 14. Свойства домена nwtraders.msft

4. После этого выберите вкладку Security, нажмите Add, добавьте учетную запись пользователя nwtraders\nwagent, в разделе Allow отметьте флажки Read и Replicate Directory Changes.

Рисунок 15. Предоставление прав

5. Нажмите Apply и OK.

6. Закройте оснастку.

7. Далее нам необходимо делегировать определенного вида права нашей учетной записи. Выберите Start—>Run--> Adsiedit.msc с правами администратора домена. Нажмите правой кнопкой мыши на ADSI Edit и выберите пункт меню Connect, нажмите ОК.

Рисунок 16. Оснастка ADSI Edit

8. Разверните список DC=nwtraders,DC=msft.

9. Найдите объект, DC=nwtraders,DC=msft, OU=GalSynchronization object.

10. Нажмите правой кнопкой мыши на объекте OU=nwtraders и выберите Properties.

Рисунок 17. Свойства объекта nwtraders

11. Откройте вкладку Security.

12. Нажмите кнопку Advanced.

13. Нажмите кнопку Add введите имя пользователя nwtraders\nwagent и нажмите ОК.

14. Нажмите на кнопку Properties.

15. В разделе Apply onto выберите Child objects only (для Windows 2003) или All descendant obects (для Windows 2008).

16. В разделе Allow отметьте флажок Write proxy Addresses.

Рисунок 18. Предоставление доступа для Write proxyAddresses

17. Нажмите OK.

18. Нажмите Apply.

19. Нажмите OK два раза.

Далее нам нужно присвоить полные разрешения на целевой контейнер, в котором будут создаваться контакты.

1. Откройте оснастку Active Directory Users and Computers.

2. В меню View, выберите Advanced Features.

Рисунок 19. Назначение прав на целевой контейнер

3. Разверните список nwtraders.msft.

4. Разверните организационную единицу GalSynchronization, и нажмите правой кнопкоймыши на контейнере DF.

5. Выберите Properties, перейдите на вкладку Security и нажмите Advanced.

6. Нажмите Add и укажите имя пользователя nwtraders\nwagent и нажмите ОК.

7. В разделе Apply onto укажите Child objects only.

Рисунок 20. Назначение прав на объекты

8. В разделе Allow отметьте флажок Full Control.

9. Нажмите OK и Apply.

10. Нажмите два раза OK и закройте оснастку.

И последнее, что нужно сделать, это добавить учетную запись агента синхронизации nwtraders\nwagent в группу Exchange Recipient Administrators для этого:

1. Откройте оснастку Active Directory Users and Computers.

2. В меню View выберите Advanced Features.

Рисунок 21. Настройка консоли

3. Разверните список df.local.

4. Разверните организационную единицу GalSynchronization, и нажмите правой кнопкой мыши на контейнере NWTRADERS.

5. Выберите Properties,перейдите на вкладку Security и нажмите Advanced.

6. Нажмите Add укажите имя пользователя df\dfagent и нажмите ОК.

7. В разделе Apply onto укажите Child objects only.

Рисунок 22. Настройка прав доступа

8. В разделе Allow отметьте флажок Full Control.

9. Нажмите OK и Apply.

10. Нажмите два раза OK и закройте оснастку.

И последнее, что нужно сделать, это добавить учетную запись агента синхронизации df\dfagent в группу Exchange Recipient Administrators

1. Откройте оснастку Active Directory Users and Computers.

2. В меню View выберите Advanced Features.

Рисунок 23. Настройка консоли

3. Разверните df.local перейдите в организационную единицу Microsoft Exchange Security Groups.

4. Нажмите правой кнопкой мыши на группе Exchange Recipient Administrators.

5. Выберите Properties.

6. Перейдите на вкладку Members и нажмите Add укажите учетную запись df\dfagent и нажмите ОК.

Рисунок 24. Добавление в группу

7. Нажмите последовательно OK, Apply, OK.

8. Закройте оснастку.

После создания иерархии организационных единиц и учетных записей в целевых доменах, приступаем непосредственно к установке и конфигурации ILM 2007 FP1. Установка данного продукта не самое сложное действо, при этом настройка это более трудоемкий процесс, в зависимости от задач, иногда требует полного понимания процесса синхронизации метаданных, осмысление правил сопоставления атрибутов и их обновления.

Системные требования для установки Microsoft Identity Lifecycle Manager 2007 FP1:

Наличие операционной системы Windows Server 2003 или Windows Server 2008 32-разряда.

Наличие SQL Server 2005 SP 2 или более поздней версии или SQL Server 2000, Service Pack 4 (SP4) или более поздние. Подходят обе версии SQL Server – Enterprise и Standard edition.

Аппаратные требования:

Процессор частотой 1 ГГц или выше ( рекомендуется Pentium 4 ); рекомендуется 512 Мб или большеОЗУ (рекомендуется 1 Гб или больше); 350 Мб доступного дискового пространства или более для установки по умолчанию. Дополнительно требуется 1Гб свободного дисквого пространства для размещения файлов журналов. Для размещения файлов базы данных сервисов метакаталога ILM 2007 и обеспечения работы пользователей нужны еще 8 Гб дискового пространства.

До недавнего времени работа Microsoft Identity Lifecycle Manager 2007 FP1 не поддерживалась в виртуальной среде, и это немного напрягало, ведь сейчас виртуализация и консолидация серверов на подъеме. Но! Недавно все изменилось, и теперь в FAQ по ILM 2007 FP1 появилась следующая информация:

Вопрос: Поддерживается ли ILM 2007 в виртуализированном окружении?

Ответ: Да, ILM 2007 FP1с последними модернизациями поддерживается в среде Hyper-V.

Более подробно с требованиями можно ознакомиться в разделе Microsoft Identity Lifecycle Manager 2007 Frequently Asked Questions; пробную версию Microsoft Identity Lifecycle Manager 2007 FP1 можно загрузить с сайта Microsoft – пробная версия Microsoft Identity Lifecycle Manager 2007 FP1.

Дополнительно для работы с организацией Exchange 2007 нам необходимо установить Powershell и консоль управления Exchange 2007 на сервер Microsoft Identity Lifecycle Manager 2007 FP1. Если не установить эти инструменты мы получим ошибку.

Рисунок 25. Ошибка из-за отсутствия необходимых компонентов в системе

Log Name: Application
Source: MIIServer
Date: 28.08.2009 4:27:28
Event ID: 6801
Task Category: (3)
Level: Error
Keywords: Classic
User: N/A
Computer: Ilm.nwtraders.msft
Description:
The extensible extension returned an unsupported error in MIIS.
The stack trace is:
"System.IO.FileNotFoundException: Could not load file or assembly 'System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' or one of its dependencies. The system cannot find the file specified.
File name: 'System.Management.Automation, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35'
at Exch2007Extension.Exch2007ExtensionClass.BeginExportToCd (String connectTo, String domain, String user, String password)

1. Установите Microsoft SQL Server 2005 с последними пакетами обновления. Сам процесс установки SQL-сервера выходит за рамки данной статьи, и мы его рассматривать не будем. Установленного SQL-сервера по умолчанию будет достаточно.

2. Установите PowerShell –> Start—> Programs –>Administrative Tools—>Server Manager–> Feautures—>Add—>Windows PowerShell—>Install.

3. Установите консоль администрирования Exchange 2007, для этого вам потребуется
загрузить 32-разрядную версию Exchange 2007 c узла Microsoft.

4. Создайте учетную запись ILM Service в домене nwtraders.msft, внесите ее в группу локальных администраторов на сервере ILM, далее установите ILM 2007 FP1 (Важно не забыть отметить флажок Password Never Expires).

4.1. Запустите ILMSplash.htm, выберите пункт меню Install Metadirectory services and user provisioning.

Рисунок 26. Начало установки ILM

4.2. Выберите Install Metadirectory services and user provisioning.

Рисунок 27. Установка ILM

4.3. Нажмите Next.

Рисунок 28. Установка ILM Начало

4.4. Ознакомьтесь с лицензионным соглашением и примите его

4.5. Нажмите Next.

4.6. Выберите тип установки Complete.

Рисунок 29. Выбор варианта установки

4.7. В нашем случае SQL Server установлен на этом же узле в разделе SQL Server located on отметьте This computer, в разделе The SQL Server instance отметьте The default instance.

Рисунок 30. Конфигурация подключения к SQL

4.8. Укажите созданную сервисную учетную запись в домене nwtraders.msft для работы
ILM 2007 FP1.

Рисунок 31. Создание сервисной учетной записи для ILM

4.9. В следующем окне нажмите Next затем Start.

Рисунок 32. Создание групп

4.10. Нажмите Finish.

Рисунок 33. Завершение установки ILM

1. Запускаем компонент Identity Manager –>Start—>Programs—> Microsoft Identity Integration Server—>Identity Manager.

Рисунок 34. Консоль Identity Manager

2. Проверяем журналы на предмет ошибок, если все нормально, процесс установки успешно завершен. Теперь приступаем к настройке агентов для целевых доменов. Для этого выбираем Management Agents—>Create. Укажите в разделе Management Agent for параметр Active Directory global address List (GAL), укажите имя агента в разделе Name: NwtradersGALMA.

3. Нажмите Next.

Рисунок 35. Создание агента для домена Nwtraders

4. На странице Connect to Active Directory Forest укажите реквизиты подключения к лесу nwtraders.msft. Укажите следующие значения и нажмите Next:

Forest name: nwtraders.msft

User name: nwagent

Domain: nwtraders.msft

Рисунок 36. Настройка реквизитов подключения

5. В окне Configure Directory Partitions отметьте следующие значения.

В разделе Select directory partitions отметьте флажок DC=nwtraders,DC=msft,

Рисунок 37. Настройка directory partitions

6. Нажмите кнопку Containers, в окне Select Containers снимите все флажки кроме GalSynchronization.

7. Нажмите OK и Next.

Рисунок 38. Выбор контейнеров

8. В окне Configure GAL нажмите кнопку Target

В меню выберите DC=nwtraders,DC=msft.

Нажмите кнопку Containers.

Выберите и разверните организационную единицу DF и отметьте флажок на организационной единице Contacts — в этой организационной единице будут создаваться контакты из домена DF.

Рисунок 39. Настройка контейнеров для синхронизации

9. Нажмите ОК два раза.

10. Нажмите кнопку Source. Здесь нужно выбрать источник данных (тот контейнер, из которого агент будет брать пользователей и создавать контакты в целевом домене)

11. Нажмите Add Containers и укажите организационную единицу nwtraders и все в нее вложенные, нажмите ОК два раза.

Рисунок 40. Настройка контейнеров для синхронизации

12. Далее в разделе Exchange configuration, нажмите кнопку Edit и укажите суффикс электронной почты, для которого должны обрабатываться данные @nwtraders.msft. (Суффикс указывается с символом @)

13. Нажмите Add. Почтовый суффикс будет добавлен в список суффиксов. Нажмите ОК.

Рисунок 41. Указание суффикса

14. Отметьте флажок Support cross forest delegation (Exchange 2007 only).

Рисунок 42. Конфигурация раздела GAL

15. Нажмите Next.

16. В следующем окне Select Object Types оставляем все параметры по умолчанию, нажимаем Next.

17. В следующем окне Select Attributes оставляем все параметры по умолчанию, нажимаем Next.

18. В следующем окне Configure Connecter Filter проверяем, в ниже перечисленных параметрах установлено значение Rules extension в разделе Filter Type. msExchDynamicDistributionList / user / contact / group

19. Нажимаем Next.

Рисунок 43. Настройка фильтров

20. В следующем окне Configure Join and Projection Rules оставляем все параметры по умолчанию, нажимаем Next.

21. В следующем окне Configure Attribute Flow оставляем все параметры по умолчанию, нажимаем Next.

22. В окне Configure Deprovisioning проверяем, что отмечено значение Determine with a rules extension. Другие значение не отмечены.

23. Нажмите Next.

Рисунок 44. Конфигурация Deprovisioning

24. В окне Configure Extensions проверьте, что выбрана библиотека GALSync.dll, отметьте флажок Enable Exchange 2007 provisioning.

25. Нажмите Next затем Finish.

Рисунок 45. Настройка раздела Extensions

Настройка агента для домена nwtraders.msft практически завершена, нам осталось сконфигурировать запуск агента. Мы это сделаем позже.

Рисунок 46. Завершение настройки агента для домена nwtraders.msft

После настройки агента для домена nwtraders.msft конфигурируем агента для домена df.local, принципиальных отличий в настройках нет, за исключением выбираемых контейнеров.

1. Выбираем Management Agents—>Create. Указываем в разделе Management Agent for параметр Active Directory global address List (GAL), указываем имя агента в разделе Name: DFGALMA.

2. Далее нажмите Next.

Рисунок 47. Создание агента для домена DF

3. На странице Connect to Active Directory Forest укажите реквизиты подключения к лесу df.local. Укажите следующие значения и нажмите Next:

Forest name: df.local

User name: dfagent

Domain: df.local

Рисунок 48. Установка реквизитов подключения

4. В окне Configure Directory Partitions отметьте следующие значения.

В разделе Select directory partitions отметьте флажок DC=nwtraders,DC=msft,

Рисунок 49. Конфигурация Directory Partitions

5. Нажмите кнопку Containers, в окне Select Containers снимите все флажки кроме GalSynchronization.

6. Нажмите OK и Next.

Рисунок 50. Выбор организационных единиц

7. В окне Configure GAL нажмите кнопку Target

В меню выберите DC=df,DC=local.

8. Нажмите кнопку Containers.

Выберите и разверните организационную единицу NWTRADERS и отметьте флажок на организационной единице Contacts — в этой организационной единице будут создаваться контакты из домена NWTRADERS.

Рисунок 51. Настройка контейнера назначения

9. Нажмите ОК два раза.

10. Нажмите кнопку Source. Здесь нужно выбрать источник данных (тот контейнер из которого агент будет брать пользователей и создавать контакты в целевом домене)

11. Нажмите Add Containers и укажите организационную единицу DF и все в нее вложенные нажмите ОК два раза.

Рисунок 52. Настройка контейнеров источников

12. Далее разделе Exchange configuration, нажмите кнопку Edit и укажите суффикс электронной почты, для которого должны обрабатываться данные @df.local. (Суффикс указывается с символом @) Так как это тестовый стенд, в целях тестирования у меня указан локальный суффикс домена.

13. Нажмите Add. Почтовый суффикс будет добавлен в список суффиксов. Нажмите ОК.

Рисунок 53. Настройка суффикса

14. Отметьте флажок Support cross forest delegation (Exchange 2007 only).

Рисунок 54. Настройка раздела GAL

15. Нажмите Next.

16. В следующем окне Select Object Types оставляем все параметры по умолчанию, нажимаем Next.

17. В следующем окне Select Attributes оставляем все параметры по умолчанию, нажимаем Next.

18. В следующем окне Configure Connecter Filter проверяем, в ниже перечисленных параметрах установлено значение Rules extension в разделе Filter Type. msExchDynamicDistributionList / user / contact / group.

19. Нажимаем Next.

Рисунок 55. Настройка фильтров

20. В следующем окне Configure Join and Projection Rules оставляем все параметры по умолчанию, нажимаем Next.

21. В следующем окне Configure Attribute Flow оставляем все параметры по умолчанию, нажимаем Next.

22. В окне Configure Deprovisioning проверяем, что отмечено значение Determine with a rules extension. Другие значение не отмечены.

23. Нажмите Next.

Рисунок 56. Конфигурация раздела Deprovisioning

24. В окне Configure Extensions проверьте, что выбрана библиотека GALSync.dll, отметьте флажок Enable Exchange 2007 provisioning.

25. Нажмите Next затем Finish.

Рисунок 57. Настройка раздела Extension

Настройка агента для домена df.local практически завершена, мы успешно создали два агента синхронизации для наших доменов, и теперь нам осталось сконфигурировать запуск агентов для автоматической синхронизации адресных книг.

Рисунок 58. Процесс настройки агентов завершен

О настройке параметров автоматического запуска процесса синхронизации и его тестирования поговорим в следующей части данной статьи.

И так в предыдущих частях данной статьи мы выполнили ряд шагов по настройке:

• Настроили разрешение имен между доменами;
• Создали необходимые организационные единицы;
• Создали необходимые учетные записи, включили их в нужные группы;
• Делегировали учетным записям доступ на организационные единицы;
• Создали агентов для целевых доменов.

Пришло время настроить автоматическую синхронизацию агентов и провести полную синхронизацию данных из целевых доменов в метаверсию агентов.

Но для начала мы создадим несколько тестовых учетных записей с почтовыми ящиками в целевых доменах. Для этого идем на наш сервер Exchange 2007 установленный в домене nwtraders.msft.

1. Запускаем консоль Exchange Management Console

2. Создаем пользователей с почтовыми ящиками в домене Nwtraders и размещаем их в организационной единице GalSynchronization—>Nwtraders—>Users (Домен nwtraders.msft)

NWUser1

NWUser2

Рисунок 59. Создание пользователей с почтовыми ящиками в домене nwtraders.msft

Проверяем, что пользователи созданы в организационной единице GalSynchronization—> Nwtraders-->Users.

Рисунок 60. Просмотр пользователей в организационной единице в домене nwtraders.msft

3. После создания учетных записей в домене nwtraders.msft идем на сервер Exchange 2007 установленный в домене df.local

4. Запускаем консоль Exchange Management Console

5. Создаем пользователей с почтовыми ящиками в домене df.local и размещаем их в организационной единице GalSynchronization—>df—>Users (домен df.local)

DFUser1

DFUser2

Рисунок 61. Создание пользователей с почтовыми ящиками в домене df.local

Проверяем, что пользователи созданы в организационной единице GalSynchronization—> df –> Users

Рисунок 62. Просмотр пользователей в организационной единице в домене df.local

На данном этапе у нас в каждом домене создано несколько тестовых пользователей с почтовыми ящиками. Теперь нам нужно произвести синхронизацию агентов ILM 2007 FP1, которые в свою очередь создадут контакты в целевых доменах.

Какие типы синхронизации существуют в ILM 2007 FP1?

Delta Import
Все изменившиеся данные в источнике синхронизируются с метаверсией конектора ILM 2007 FP1

Delta Import (Stage Only)
Все изменившиеся данные в источнике проверяются и подготавливаются для синхронизации с метаверсией конектора ILM 2007 FP1.

Delta Synchronization
После изменения данных в источнике, данные подготавливаются и синхронизируются с метаверсией конектора ILM 2007 FP1 по средствам входящей синхронизации, также производится исходящая синхронизация из метаверсии конектора ILM 2007 FP1 в источник.

Export
Все данные подготовленные в метаверсии конектора для экспорта выгружаются в источник.

Full Import
Все данные выгружаются из источника в метаверсию конектора ILM 2007 FP1

Full Import (Stage Only)
Все данные из источника проверяются и подготавливаются для синхронизации с метаверсией конектора.

Full Import and Full Synchronization
Все данные из источника синхронизируются с метаверсией конектора ILM 2007 FP1 по средствам входящей синхронизации, все данные из метаверсии конектора ILM 2007 FP1 синхронизируются с источником.

Full Synchronization
Все подготовленные данные в метаверсии конектора ILM 2007 FP1 синхронизируются с источником.

Настало время выполнить синхронизацию объектов, для этого нам потребуются выполнить следующие операции:

• Full Import (Staging Only)
• Full Synchronization
• Export
• Delta Import

В начале эти операции нужно выполнить для каждого агента по очереди. На первом этапе мы выполним их вручную.

Идем в свойства агента; для этого жмем правой кнопкой мыши на агенте NwtradersGALMA, выбираем Run.

1. В окне , в разделе , выбираем .
2. Нажимаем .

Рисунок 63. Full Import (Stage Only) для агента NwtradersGALMA

Результат выполнения Full Import (Stage Only) для агента NwtradersGALMA.

Рисунок 64. Результат выполнения Full Import (Stage Only) для агента NwtradersGALMA

Идем в свойства агента для этого жмем правой кнопкой мыши на агенте DFGALMA

1. В окне , в разделе , выбираем .
2. Нажимаем .

Рисунок 65. Full Import (Stage Only) для агента DFGALMA

Результат выполнения Full Import (Stage Only) для агента DFGALMA.

Рисунок 66. Результат выполнения Full Import (Stage Only) для агента DFGALMA

Идем в свойства агента; для этого жмем правой кнопкой мыши на агенте NwtradersGALMA, выбираем Run

1. В окне , в разделе , выбираем .
2. Нажимаем .

Рисунок 67. Выбор Full synchronization для агента NwtradersGALMA

Результат выполнения Full Synchronization для агента NwtradersGALMA.

Рисунок 68. Результат выполнения Full Synchronization для агента NwtradersGALMA

Идем в свойства агента; для этого жмем правой кнопкой мыши на агенте DFGALMA

1. В окне , в разделе , выбираем .
2. Нажимаем .

Рисунок 69. Full synchronization для агента DFGALMA

Результат выполнения Full Synchronization для агентаDFGALMA

Рисунок 70. Результат выполнения Full Synchronization для агента DFGALMA

Идем в свойства агента; для этого жмем правой кнопкой мыши на агенте NwtradersGALMA, выбираем Run.

1. В окне , в разделе , выбираем .
2. Нажимаем .

Рисунок 71. Export для агента NwtradersGALMA

Результат выполнения Export для агента NwtradersGALMA.

Рисунок 72. Результат выполнения Export для агента NwtradersGALMA

Идем в свойства агента; для этого жмем правой кнопкой мыши на агенте DFGALMA

1. В окне , в разделе , выбираем .
2. Нажимаем .

Рисунок 73. Export для агента DFGALMA

Результат выполнения Export для агента DFGALMA

Рисунок 74. Результат выполнения Export для агента DFGALMA

Идем в свойства агента; для этого жмем правой кнопкой мыши на агенте NwtradersGALMA, выбираем Run

1. В окне Management Agent, в разделе in Run Profiles, выбираем Delta Import.
2. Нажимаем OK.

Рисунок 75. Delta import для агента NwtradersGALMA

Результат выполнения Delta import для агента NwtradersGALMA

Рисунок 76. Результат выполнения Delta import для агента NwtradersGALMA

Идем в свойства агента; для этого жмем правой кнопкой мыши на агенте DFGALMA

1. В окне , в разделе , выбираем .
2. Нажимаем .

Рисунок 77. Delta import для агента DFGALMA

Результат выполнения Delta import для агента DFGALMA

Рисунок 78. Результат выполнения Delta import для агента DFGALMA

После завершения процесса синхронизации наши контакты успешно созданы в целевых доменах, откроем оснастку Active Directory Users and Computers в домене nwtraders.msft и убедимся что это так.

Рисунок 79. Созданные контакты после синхронизации

Контакты так же отображаются в консоли Exchange Management Console.

Рисунок 80. Отображение контактов в консоли Exchange

Контакты созданы, а это означает, что наш сервер ILM 2007 FP1 успешно синхронизирует контакты в целевых доменах. Теперь нам нужно автоматизировать процесс синхронизации. Процесс настраивается банально просто. Выгружается сценарий и засовывается во встроенный планировщик заданий Windows.

1. Идем в свойства агента , выбираем пункт
2. Нажимаем , вводим имя
3. Нажимаем

Рисунок 81. Указание имени профиля

1. В разделе выбираем
2. Нажимаем и .

Рисунок 82. Конфигурация шагов профиля

Далее нажимаем кнопку New Step

В разделе Specify step type выбираем Full Synchronization.

Рисунок 83. Выбор типа синхронизации

НажимаемNext и Finish.

Повторяем те же шаги для типов синхронизации Export и Delta Import.

В итоге получаем схему из четырех шагов, далее нажимаем кнопку Script и сохраняем сценарий в папку c:\scripts\NwtradersGALMASYnc.vbs.

Рисунок 84. Профиль для агента NwtradersGALMA

Далее необходимо полученный сценарий засунуть в планировщик Windows Server и настроить запуск по расписанию. Повторите шаги по созданию скрипта для второго агента DFGALMA.

Сам по себе продукт Microsoft Identity Lifecycle Manager 2007 FP1 является мощным функциональным и одновременно с тем, сложным инструментом для организации разного рода взаимодействия гетерогенных каталогов. Предоставляет уникальный набор инструментов синхронизации и управления учетными записями между разными платформами.

Если у вас небольшая организация и необходимо использовать синхронизацию контактов и ничего более, то развертывание данного продукта может оказаться не совсем целесообразным и тривиальным решением для вашей среды.

В таком случае рекомендую ознакомиться со статьей Ильи Сазонова, в которой он детально описывает процесс синхронизации по средствам скрипта написанного на PowerShell. Это решение, возможно, покроет все ваши требования по синхронизации учетных записей.