FIM2010R2 同步GAL實驗手冊
ForeFront IdentityManager2010R2(FIM2010R2)組件介紹:
作爲微軟新一代的企業信息管理解決方案,ForeFront Identity Manager 2010R2無論是在功能上還是平臺支持上都有很大的提升,本文檔將針對ForeFront Identity Manager 2010R2的軟件架構以及常用簡單模式的FIM2010R2部署做介紹。
在ForeFront Identity Manager 2010R2中共包含一下幾個組件,如下圖所示:
如上圖所示,FIM2010R2的所有組件中,大致可歸類爲客戶端、IDM平臺以及信息存儲平臺三類。其中客戶端用於最終用戶;IDM平臺用於FIM後臺工作過程實現;而信息存儲則指企業環境中各個業務平臺數數據庫及應用服務器。
FIM客戶端:在ForeFrontIdentity Manager 2010中,客戶端大致分爲以下幾種類型:基於IE瀏覽器的訪問站點、基於操作系統及其應用程序的擴展以及自定義客戶端。通常情況下企業可使用前兩種類型的客戶端完成企業的大部分需求,通過這兩種客戶端,用戶可選擇通過瀏覽器的方式或在Windows系統未登錄狀態下來完成某些功能的實現,但是對於具備特殊需要的企業,可通過ForeFrontIdentity Manager 2010R2提供的API接口進行客戶的自定義。
常見FIM客戶端包括有已安裝FIM擴展的Windows操作系統、已安裝FIM擴展的Outlook2010、FIM Portal以及FIM自助服務站點。
IDM平臺:當用戶將自身的需求通過各種FIM客戶端提交給FIM服務時,或當FIM組件監測到相關用戶信息變更時,FIM服務可通過其自身各組件以及額外的數據路由配置等信息對客戶端請求進行處理,並對信息存儲區域的相關應用進行調用以完成整個工作流程,該部分爲FIM運行過程中的核心組件所在。
IDM平臺通常包括以下FIM組件:
FIM服務:用來響應來自FIM客戶端的請求信息。
FIM同步服務:在多個信息存儲之間進行數據同步,例如用戶在Oracle數據庫中對某個用戶的職稱信息進行了修改,此時FIM同步服務可根據配置將修改同步到其他數據庫中,比如活動目錄數據庫。
FIM證書管理:對存在於網絡中的證書辦法機構進行管理。
FIM密碼修改通知服務:部署在活動目錄服務器上的密碼修改通知服務。
信息存儲:在FIM運行過程中,當FIM組件監到信息存儲部分數據庫中某用數據信息變動時,FIM組件會將該信息進行獲取並對其進行轉換,同時傳送到不同平臺的其他信息存儲數據庫中。而信息存儲部分在此過程中起到信息導入導出功能。如下圖所示:
而本次實驗中主要是跨林實現Exchange 2010 全局地址列表的同步,所以在這個實驗中我們只用到FIM2010R2的同步服務器組件,對於其他組件這裏均不做演示。
簡單環境部署
一、環境介紹(五臺服務器,一臺客戶端)
a)域控制器:VIA-DC01.contoso.com,VIA-DC02.Fabrikam.com
b)郵件服務器:VIA-EX01.contoso.com,VIA-EX02.Fabrikam.com
c)FIM2010R2 Sync 服務器:VIA-FIM01.contoso.com
d)測試客戶端:VIA-CLT01.contoso,VIA-CLT02.Fabrikam.com
二、拓撲簡圖
三、安裝軟件清單
服務器名稱 | 操作系統版本 | 基礎軟件安裝清單 |
VIA-DC01 | Windows server 2008R2 | IIS 7.5所有組件 企業根證書服務器 活動目錄服務 |
VIA-DC02 | Windows server 2008R2 | IIS 7.5所有組件 企業根證書服務器 活動目錄服務 |
VIA-EX01 | Windows server 2008R2 | IIS 7.5 Exchange Server 2010 |
VIA-EX02 | Windows server 2008R2 | IIS 7.5 Exchange Server 2010 |
VIA-FIM01 | Windows server 2008R2 | SQL Server 2008R2 EMC FIM 2010R2 Sync |
VIA-CLT01 | Windows 7 | Outlook 2010 |
VIA-CLT02 | Windows 7 | Outlook 2010 |
四、安裝步驟和說明
1、在VIA-DC01上部署域控制器,首先修改計算機名稱爲”VIA-DC01”;
2、修改其IP地址爲”10.0.0.2”,如下圖所示;
3、創建該機器爲林中的第一臺域控制器,打開cmdàDcpromo;
4、默認下一步;
5、默認下一步;
6、選擇”Create a new domain in a forest”,點擊下一步;
7、輸入”FQDN ofthe forest root domain”爲contoso.com,點擊下一步;
8、林的功能級別選擇爲”Windowsserver 2008R2”,點擊下一步;
9、默認下一步;
10、輸入目錄服務還原模式密碼,點擊下一步;
11、正在安裝,勾選安裝完成後自動重啓系統;
12、重啓系統後打開ADUC,創建一個OU名爲”GalSync”;
13、輸入OU名稱爲”GalSync”,點擊”OK”;
14、然後在”GalSync”這個OU下新建如圖所示兩個子OU;
15、在Contoso_Users OU下新建如圖所示四個User,用來測試;
16、創建ServicesAccount OU;
17、在ServiceAccount OU下新建一個User爲”FIMGalSync”的賬戶,主要是用來做FIM2010R2的用戶身份驗證;
18、創建完成;
19、添加安全權限給FIMGalSync用戶,右鍵contoso.com,點擊屬性;
20、選擇”Security”,點擊”Add”;
21、選擇FIMGalSync賬戶,點擊OK;
22、賦予FIMGalSync賬戶的權限爲 Allow ”Replicating Directory”,點擊OK;
23、選擇GalSync OU右鍵屬性;
24、選擇”Security”,點擊”Advanced”;
25、選擇”Add”;
26、添加FIMGalSync賬戶,點擊OK;
27、賦予FIMGalSync賬戶具有”Full control” 權限,點擊”OK”;
28、在VIA-DC01上打開DNS服務器,右鍵點擊”Conditional Forwarders”,點擊New ConditionalForwarders;
29、在DNS Domain處輸入”Fabrikam.com”,IP Address 處輸入10.0.0.12,勾選如圖所示選項匡,點擊”OK”;
30、創建完成;
31、打開cmd,Ping Fabrikam.com能正常Ping通;
32、在VIA-EX01上部署Exchange Server 2010,修改其計算機名稱爲”VIA-EX01”;
33、修改其IP地址爲”10.0.0.3”;
34、將其加入到Contoso.com域中;
35、加入成功,重啓計算機;
36、重啓計算機後,登陸計算機,安裝Exchange 2010所需組件,打開Windows Powershell,輸入如圖命令;
37、輸入安裝Exchange2010所有角色需要的組件命令;
38、安裝Microsoft Filter Pack 2.0;
39、點擊接受協議,點擊下一步;
40、安裝完成;
41、設置Net.TCP Port Sharing爲自動、啓動;
42、安裝Exchange 2010,點擊下一步;
43、默認下一步;
44、輸入Exchange Organization爲”Contoso”,點擊下一步;
45、輸入CAS訪問地址爲”Mail.contoso.com”;
46、默認下一步;
47、檢查無誤,點擊Install;
48、安裝完成,創建User,點擊下一步;
49、選擇現有用戶,找到相應用戶,如Alice,點擊OK;
50、選擇默認的MBX,點擊下一步;
51、創建User完成
52、用上述方式依次創建其他賬號,創建完成後如圖所示;
53、打開EMC,找到Toolbox,雙擊”RBAC”;
54、在彈出的Web中輸入administrator和相應密碼登錄;
55、選擇”Administrator Roles”à雙擊”RecipientManagement”;
56、選擇”Add”,添加User”FIMGalSync”,點擊”OK”;
57、點擊”Save”;
58、在VIA-DC02上部署新林中的新域控制器(Fabrikam.com),修改計算機名稱爲”VIA-DC02”
59、配置IP地址爲下圖所示,安裝域控制器過程請參考部署VIA-DC01;
60、創建完成後登陸到VIA-DC02,在ADUC上創建OU名爲”GalSync”,並創建兩個子OU,且在Fabrikam_Users上創建如圖四個User,用於做Sync測試;
61、創建ServicesAccount OU,並創建User爲測試管理員賬戶;
62、打開ADUC,右鍵點擊”Fabrikam.com”à點擊”屬性”;
63、選擇”安全”,添加”FIMGalSync”賬戶,點擊”OK”;
64、在權限處勾選”Replicating Directory Changes”爲Allow,點擊OK;
65、右鍵點擊OU ”GalSync”à點擊”屬性”;
66、在”Security”à點擊”Advanced”;
67、在”Pemissions”à點擊”Add”;
68、選擇User “FIMGalSync”,權限”This object and all descendant objects” 爲Allow;
69、在VIA-DC02上打開DNS服務器,右鍵點擊”New Conditional Forwarder”;
70、在”DNS Domain”處輸入”contoso.com”,IP Address 輸入”10.0.0.2”.點擊”OK”;
71、打開Cmd,ping contoso.com,能正常ping通;
72、在VIA-EX02上安裝Exchange2010,修改計算機爲VIA-EX02;
73、配置IP爲”10.0.0.13”;
74、部署Exchange 2010的方式跟VIA-EX01相同,在這不在重複,創建User郵箱賬戶,在這裏創建了四個郵箱賬戶,分別如圖所示;
75、在EMC上點擊Toolbox,打開RBAC,將FIMGalSync賬戶添加到”Recipient Management”中;
76、在VIA-FIM01上部署FIM2010R2,配置IP爲”10.0.0.4”;
77、修改計算機名稱,並將這臺計算機加入到contoso.com域中,如圖所示;
78、添加成功,重啓計算機;
79、打開服務器管理器,找到”Features”,安裝.net 3.5;
80、安裝完成;
81、安裝SQL Server 2008R2,點擊”Installation”;
82、點擊安裝;
84、檢查完成,點擊”Next”;
85、選擇”SQL Server Feature Installation”,點擊”Next”;
86、勾選所需的選項,點擊”Next”;
87、添加管理賬戶和密碼,點擊”Next”;
88、選擇”Install the native mode default configuration”,點擊”Next”;
89、點擊”Install”;
90、安裝完成;
91、在VIA-FIM01上安裝Windows Powershell,打開服務器管理器,點擊”Features”;
92、安裝完成;
93、在VIA-FIM01上安裝EMC;
94、選擇自定義安裝,點擊下一步;
95、點擊”Management Tools”,點擊”Next”;
96、安裝前檢查完成,點擊”Install”;
97、安裝完成;
98、在VIA-FIM01服務器上安裝FIM2010R2,點擊”Install Synchronization Service”;
99、在彈出的對話框中點擊”Run”;
100、再次點擊”Run”;
101、在彈出的安裝嚮導中點擊”Next”;
102、勾選”I accept the terms in the license Agreement”,點擊”Next”;
103、默認點擊”Next”;
104、默認點擊”Next”;
105、安裝完成,點擊”Finish”;
106、在彈出的對話框中點擊”Yes”,提示註銷重新登錄;
107、重新登錄後在開始菜單中找到”Synchronization Service”,並點擊它;
108、在彈出的”Synchronization Service”中選擇”Management Agents”—>點擊”Create”;
109、在Create management Agent中選擇”Active Directory globaladdress list(GAL)”,在Name處輸入”Contoso”,點擊”Next”;
110、在Connect to Active Directory Forest處輸入Forest Name爲”Contoso.com”,以及之前在ADUC上創建的Sync賬戶FIMGalSync和密碼,Domain處輸入”contoso”,點擊”next”;
111、在”Configure Directory Partitions”處勾選”DC=contoso,DC=com”,找到”Containers”並點擊,在彈出的對話框中僅選擇”GalSync” OU;
112、在”Configure GAL”處,點擊”Target”à再點擊”Container”,僅勾選”Contacts”,目的是將Fabrikam.com中的User Sync到這個OU中;
113、然後點擊”Edit”à在”Add”處輸入”@contoso.com”並點擊Add,然後點擊”OK”;
114、默認下一步;
115、默認下一步;
116、默認下一步;
117、默認下一步;
118、默認下一步;
119、默認下一步;
120、默認下一步;
121、在Exchange 2010 PRS RRI處輸入Http://VIA-EX01.contoso.com/Powershell,點擊”Finish”;
122、同樣的方式創建Fabrikam.com
123、在選項卡”Tools”à點擊”Options”;
124、勾選”Enable Provisioning Rules Extension”,點擊”OK”;
125、接下來就是來同步兩個林中的賬戶,先選擇”contoso”,點擊”Run”;
126、選擇”FullImport(Stage Only)”,點擊”OK”;
127、Run完成後,可以點擊”Adds”和”Updates”來查看當前的object;
128、同樣的方式在Fabrikam上也運行一遍;
129、選擇”FullImport(Stage Only)”,點擊”OK”;
130、Run完成後,可以點擊”Adds”和”Updates”來查看當前的object;
131、接下來再點擊”Contoso”,à點擊”Run”,選擇”FullSynchronization”,點擊”OK”;
132、運行完成,查看當前User;
133、點擊”Fabrikam”,à點擊”Run”,選擇”FullSynchronization”,點擊”OK”;
134、查看User,已看到Fabrikam域中的User,也能看到Contoso域中的User;
135、再點擊”Contoso”à”Run”,選擇”Export”,點擊”OK”;
136、如圖所示,已更新Fabrikam域中的User;
137、再點擊”Fabrikam”à”Run”,選擇”Export”,點擊”OK”;
138、如圖所示,已更新Contoso域中的User;
139、在回到VIA-DC01上,打開ADUC,查看OU”GalSync”à”Contacts”,出現Fabrikam域的域用戶,則證明成功將Fabrikam域的用戶導入到Contoso域中;
140、在回到VIA-DC02上,打開ADUC,查看OU ”GalSync”à”Contacts”,出現Contoso域的域用戶,則證明成功將Contoso域的用戶導入到Fabrikam域中;
141、打開VIA-CLT01 ,查看Outlook2010全局地址列表,已成功更新Fabrikam域中的User到Contoso域中;
142、打開VIA-CLT02 ,查看Outlook2010全局地址列表,已成功更新Contoso域中的User到Fabrikam域中。
到此,該實驗已成功操作完成。
五、參考資料
http://technet.microsoft.com/zh-CN/forefront/cc470030
http://support.microsoft.com/kb/303972