Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema werden die bewährten Methoden für die Bereitstellung und den Betrieb von Microsoft Identity Manager 2016 (MIM) beschrieben.
SQL-Setup
Hinweis
Die folgenden Empfehlungen für das Einrichten eines Servers, auf dem SQL ausgeführt wird, gehen davon aus, dass eine SQL-Instanz für fiMService und eine SQL-Instanz für die FIMSynchronizationService-Datenbank vorgesehen ist. Wenn Sie fiMService in einer konsolidierten Umgebung ausführen, müssen Sie Anpassungen vornehmen, die für Ihre Konfiguration geeignet sind.
Die Konfiguration des SQL-Servers (Structured Query Language) ist für eine optimale Systemleistung von entscheidender Bedeutung. Die optimale MIM-Leistung in umfangreichen Implementierungen hängt von der Anwendung bewährter Methoden für einen Server ab, auf dem SQL ausgeführt wird. Weitere Informationen finden Sie in den folgenden Themen zu bewährten SQL-Methoden:
Vorabgröße von Daten und Protokolldateien
Verlassen Sie sich nicht auf das automatische Wachstum. Verwalten Sie stattdessen das Wachstum dieser Dateien manuell. Sie können aus Sicherheitsgründen automatisch wachsen lassen, aber Sie sollten das Wachstum der Datendateien proaktiv verwalten. Beispielgrößen der MIM-Datenbank finden Sie im FIM-Kapazitätsplanungshandbuch.
So stellen Sie SQL-Daten und Protokolldateien vor
Starten Sie SQL Server Management Studio.
Navigieren Sie zur Datenbank FIMService, klicken Sie mit der rechten Maustaste auf FIMService, und klicken Sie dann auf Eigenschaften.
Erweitern Sie auf der Seite "Dateien" die Datenbankdateien auf die erforderliche Größe.
Isolieren des Protokolls aus Datendateien
Befolgen Sie die bewährten Methoden für SQL Server, um die Transaktions- und Datenprotokolldateien für die Datenbanken auf separaten physischen Datenträgern zu isolieren.
Erstellen zusätzlicher tempdb-Dateien
Für eine optimale Leistung empfehlen wir, eine Datendatei pro CPU-Kern in der tempdb-Datei zu erstellen.
So erstellen Sie zusätzliche tempdb-Dateien
Starten Sie SQL Server Management Studio.
Navigieren Sie in Systemdatenbanken zu "tempdb", klicken Sie mit der rechten Maustaste auf "tempdb", und klicken Sie dann auf "Eigenschaften".
Erstellen Sie auf der Seite "Dateien" eine Datendatei für jeden CPU-Kern. Achten Sie darauf, die tempdb-Daten und Protokolldateien in verschiedene Laufwerke und Spindeln zu trennen.
Sicherstellen des ausreichenden Speicherplatzes für Protokolldateien
Es ist wichtig, die Datenträgeranforderungen Ihres Wiederherstellungsmodells zu verstehen. Der einfache Wiederherstellungsmodus kann während der anfänglichen Systemlast geeignet sein, um die Verwendung des Speicherplatzes zu begrenzen, aber die daten, die nach der letzten Sicherung erstellt wurden, werden Datenverlusten ausgesetzt. Wenn Sie den vollständigen Wiederherstellungsmodus verwenden, müssen Sie die Datenträgernutzung über Sicherungen verwalten, die häufige Sicherungen des Transaktionsprotokolls enthalten, um eine hohe Speicherplatznutzung zu verhindern. Weitere Informationen finden Sie unter Recovery Model Overview.
Beschränken des SQL Server-Arbeitsspeichers
Je nachdem, wie viel Arbeitsspeicher Sie auf Ihrem SQL-Server haben und wenn Sie den SQL-Server für andere Dienste freigeben (d. h. MIM 2016-Dienst und MIM 2016-Synchronisierungsdienst), sollten Sie den Speicherverbrauch von SQL einschränken. Sie können diese Einschränkung über die folgenden Schritte festlegen.
Starten Sie SQL Server Enterprise Manager.
Wählen Sie „Neue Abfrage“ aus.
Führen Sie die folgende Abfrage aus:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEIn diesem Beispiel wird der SQL-Server so konfiguriert, dass nicht mehr als 12 GB Arbeitsspeicher verwendet werden.
Überprüfen Sie die Einstellung mithilfe der folgenden Abfrage:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Sicherungs- und Wiederherstellungskonfiguration
Im Allgemeinen sollten Sie mit Ihrem Datenbankadministrator zusammenarbeiten, um eine Sicherungs- und Wiederherstellungsstrategie zu entwerfen. Einige Empfehlungen umfassen:
- Führen Sie Datenbanksicherungen gemäß der Sicherungsrichtlinie Ihrer Organisation aus.
- Wenn inkrementelle Protokollsicherungen nicht geplant sind, sollte die Datenbank auf den einfachen Wiederherstellungsmodus festgelegt werden.
- Stellen Sie sicher, dass Sie die Auswirkungen der verschiedenen Wiederherstellungsmodelle verstehen, bevor Sie Ihre Sicherungsstrategie implementieren. Erfahren Sie mehr über die Speicherplatzanforderungen für diese Modelle. Das vollständige Wiederherstellungsmodell erfordert häufige Protokollsicherungen, um eine hohe Speicherplatznutzung zu vermeiden.
Weitere Informationen finden Sie in Übersicht über das Wiederherstellungsmodell und FIM 2010 Backup and Restore Guide.
Erstellen eines Sicherungsadministratorkontos für den FIM-Dienst nach der Installation
Mitglieder der GRUPPE FIMService-Administratoren verfügen über eindeutige Berechtigungen, die für den Betrieb Ihrer MIM-Bereitstellung wichtig sind. Wenn Sie sich nicht als Teil der Gruppe "Administratoren" anmelden können, besteht die einzige Lösung darin, ein Rollback auf eine vorherige Sicherung des Systems zu erstellen. Um diese Situation zu mindern, empfehlen wir, dass Sie dem FIM Administrativen Satz im Rahmen Ihrer Konfiguration nach der Installation weitere Benutzer hinzufügen.
FIM-Dienst
Konfigurieren des EXCHANGE-Postfachs des FIM-Diensts
Im Folgenden finden Sie bewährte Methoden zum Konfigurieren von Microsoft Exchange Server für das MIM 2016-Dienstkonto.
- Konfigurieren Sie das Dienstkonto so, dass es nur E-Mails von internen E-Mail-Adressen akzeptieren kann. Insbesondere sollte das Dienstkontopostfach niemals in der Lage sein, E-Mails von externen SMTP-Servern zu empfangen.
So konfigurieren Sie das Dienstkonto
Wählen Sie in der Exchange-Verwaltungskonsole das FIM-Dienstdienstkontoaus.
Wählen Sie "Eigenschaften" aus, wählen Sie "Nachrichtenflusseinstellungen" und dann E-Mail-Übermittlungseinschränkungen aus.
Aktivieren Sie das Kontrollkästchen Festlegen, dass alle Absender authentifiziert werden.
Weitere Informationen finden Sie unter Konfigurieren von Einschränkungen für die Nachrichtenübermittlung.
Konfigurieren Sie das Dienstkonto so, dass E-Mails mit einer Größe von mehr als 1 MB abgelehnt werden. Befolgen Sie die bewährte Methode, um Nachrichtengrößenbeschränkungen für ein Postfach oder einen Mail-Enabled öffentlichen Ordner zu konfigurieren.
Konfigurieren Sie das Dienstkonto so, dass es über ein Postfachspeicherkontingent von 5 GB verfügt. Um optimale Ergebnisse zu erzielen, befolgen Sie die unter Konfigurieren von Speicherkontingenten für ein Postfachaufgeführten bewährten Methoden.
MIM-Portal
Deaktivieren der SharePoint-Indizierung
Es wird empfohlen, die Indizierung von Microsoft Office SharePoint® zu deaktivieren. Es sind keine Dokumente vorhanden, die indiziert werden müssen. Die Indizierung verursacht viele Fehlerprotokolleinträge und potenzielle Leistungsprobleme in MIM. Führen Sie die folgenden Schritte aus, um die SharePoint-Indizierung zu deaktivieren:
Klicken Sie auf dem Server, auf dem das MIM 2016-Portal gehostet wird, auf "Start".
Klicken Sie auf "Alle Programme".
Klicken Sie in der Liste "Alle Programme" auf "Verwaltungstools".
Klicken Sie unter "Verwaltungstools" auf "SharePoint-Zentraladministration".
Klicken Sie auf der Seite "Zentraladministration" auf "Vorgänge".
Klicken Sie auf der Seite "Vorgänge" unter "Globale Konfiguration" auf "Zeitgeberauftragsdefinitionen".
Klicken Sie auf der Seite "Zeitgeberauftragsdefinitionen" auf "SharePoint Services-Suchaktualisierung".
Klicken Sie auf der Seite "Zeitgeberauftrag bearbeiten" auf "Deaktivieren".
MIM 2016– Anfängliches Laden von Daten
In diesem Abschnitt werden eine Reihe von Schritten aufgeführt, um die Leistung der anfänglichen Datenlast von externem System zu MIM zu erhöhen. Es ist wichtig zu verstehen, dass eine Reihe dieser Schritte nur während der Erstpopulation des Systems ausgeführt wird. Sie sollten nach Abschluss des Ladevorgangs zurückgesetzt werden. Diese Schritte gelten für einen einmaligen Vorgang und keine fortlaufende Synchronisierung.
Wichtig
Stellen Sie sicher, dass Sie die bewährten Methoden angewendet haben, die im Sql-Setupabschnitt dieses Handbuchs behandelt werden.
Schritt 1: Konfigurieren des SQL-Servers für die anfängliche Datenlast
Die anfängliche Auslastung von Daten kann ein langwieriger Prozess sein. Wenn Sie beabsichtigen, zunächst viele Daten zu laden, können Sie die Zeit für das Auffüllen der Datenbank verkürzen, indem Sie die Volltextsuche vorübergehend deaktivieren und wieder aktivieren, nachdem der Export für den MIM 2016-Verwaltungs-Agent (FIM MA) abgeschlossen wurde.
So deaktivieren Sie die Volltextsuche vorübergehend:
Starten Sie SQL Server Management Studio.
Wählen Sie „Neue Abfrage“ aus.
Führen Sie die folgenden SQL-Anweisungen aus:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Wichtig
Die Implementierung dieser Verfahren kann zu einer hohen Speicherplatzauslastung führen, was dazu führen kann, dass Sie nicht genügend Speicherplatz haben. Weitere Details zu diesem Thema finden Sie in Übersicht über das Wiederherstellungsmodell. Das FIM Backup and Restore Guide enthält zusätzliche Informationen.
Schritt 2: Anwenden der minimal erforderlichen MIM-Konfiguration während des Ladevorgangs
Während des anfänglichen Ladevorgangs sollten Sie nur die mindeste Konfiguration anwenden, die für Ihre FIM-Konfiguration für Ihre Verwaltungsrichtlinienregeln (MPRs) und Satzdefinitionen erforderlich ist. Erstellen Sie nach Abschluss des Datenladevorgangs die zusätzlichen Sätze, die für Ihre Bereitstellung erforderlich sind. Verwenden Sie die Einstellung Run-On Richtlinienaktualisierung für die Aktionsworkflows, um diese Richtlinien rückwirkend auf die geladenen Daten anzuwenden.
Schritt 3: Konfigurieren und Auffüllen des FIM-Diensts mit externen Identitätsdaten
An diesem Punkt sollten Sie die verfahren befolgen, die unter "How Do I Synchronize Users from Active Directory Domain Services to FIM guide to configure and synchronize your system with users from Active Directory" beschrieben werden. Wenn Sie Gruppeninformationen synchronisieren müssen, werden die Verfahren für diesen Prozess im Handbuch How Do I Synchronize Groups from Active Directory Domain Services to FIM beschrieben.
Synchronisierungs- und Exportsequenzen
Um die Leistung zu optimieren, führen Sie nach einer Synchronisierung einen Export aus, der zu einer großen Anzahl ausstehender Exportvorgänge in einem Connectorbereich führt. Führen Sie dann einen bestätigenden Importvorgang auf dem Verwaltungs-Agent aus, der dem betroffenen Connectorbereich zugeordnet ist. Wenn Sie beispielsweise Synchronisierungsprofile für mehrere Verwaltungs-Agents als Teil einer anfänglichen Datenlade ausführen müssen, sollten Sie einen Export ausführen, gefolgt von einem Delta-Import nach jeder einzelnen Synchronisierungsausführung. Führen Sie für jeden Quellverwaltungs-Agent, der Teil ihres Initialisierungszyklus ist, die folgenden Schritte aus:
Vollständiger Import für einen Quellverwaltungs-Agent.
Vollständige Synchronisierung für den Quellverwaltungs-Agent.
Exportieren sie für alle betroffenen Zielverwaltungs-Agents mit mehrstufigen Exportvorgängen.
Delta-Import für alle betroffenen Zielverwaltungs-Agents mit mehrstufigen Exportvorgängen.
Schritt 4: Anwenden der vollständigen MIM-Konfiguration
Nachdem die anfängliche Datenladevorgang abgeschlossen ist, sollten Sie die vollständige MIM-Konfiguration für Ihre Bereitstellung anwenden.
Abhängig von Ihren Szenarien kann dieser Schritt die Erstellung zusätzlicher Sätze, MPRs und Workflows umfassen. Verwenden Sie für alle Richtlinien, die Sie rückwirkend auf alle vorhandenen Objekte im System anwenden müssen, die Einstellung "Richtlinienaktualisierung ausführen" für Aktionsworkflows, um diese Richtlinien rückwirkend auf die geladenen Daten anzuwenden.
Schritt 5: Erneutes Konfigurieren von SQL in vorherige Einstellungen
Denken Sie daran, die SQL-Einstellung in ihre normalen Einstellungen zu ändern. Zu diesen Änderungen gehören:
Aktivieren der Volltextsuche
Aktualisieren der Sicherungsrichtlinie gemäß Ihrer Organisationsrichtlinie
Nachdem Sie die anfängliche Datenladevorgang abgeschlossen haben, müssen Sie die Volltextsuche erneut aktivieren. Führen Sie die folgenden SQL-Anweisungen aus, um die Volltextsuche erneut zu aktivieren:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Wenn Sie zum einfachen Wiederherstellungsmodus wechseln müssen, stellen Sie sicher, dass Sie Ihren Sicherungszeitplan gemäß der Sicherungsrichtlinie Ihrer Organisation neu konfigurieren. Weitere Details zu FIM-Sicherungszeitplänen finden Sie im FIM Backup and Restore Guide.
Konfigurationsmigration
Ändern von Anzeigenamen vermeiden
Für viele Objekttypen wie MPRs verwendet das syncproduction.ps1 Skript den Anzeigenamen als einziges Anker-Attribut zwischen zwei Systemen. Folglich führt eine Änderung des Anzeigenamens eines vorhandenen MPR zum Löschen des vorhandenen MPR, gefolgt von der Erstellung eines neuen MPR. Dieses Ergebnis tritt auf, da der Migrationsprozess MPRs, deren Verknüpfungskriterien geändert wurden, nicht erfolgreich beitreten kann. Um dieses Problem zu vermeiden, können Sie ein benutzerdefiniertes Attribut an alle Konfigurationsobjekttypen binden und dieses Attribut als Verknüpfungskriterien verwenden. Mit diesem Prozess können Sie Anzeigenamen ändern, ohne dass sich dies auf den Migrationsprozess auswirkt.
Vermeiden Sie das Ändern des Inhalts von Zwischendateien
Während das Dateiformat und die API (Application Programming Interface) der Objekte auf niedriger Ebene öffentlich sind und Manipulationen von Entwicklern unterstützt werden, wird davon abgeraten, den Inhalt der Zwischenformate während der Migration zu ändern. Es kann jedoch erforderlich sein, gesamte ImportObjects aus changes.xml zu entfernen oder Such- und Ersetzungsvorgänge für pilot.xml auszuführen, um Versionsnummern oder DNS-Informationen (Domain Name System) für die Produktions-DNS-Informationen zu ersetzen.
Stellen Sie sicher, dass die Versionsnummer in pilot.xml bei der Migration über Versionen hinweg korrekt ist.
Während Migrationen über Versionsnummern hinweg nicht empfohlen oder unterstützt werden, können Sie diese Migration häufig ausführen, indem Sie die Pilotversionsnummer durch die Produktionsversionsnummer in pilot.xmlersetzen. Insbesondere WorkflowDefinition und
ActivityInformationConfiguration-Objekte erfordern die Versionsnummer, um genau auf Workflowaktivitäten in der Produktionsumgebung zu verweisen. Wenn Sie die Versionsnummer nicht ersetzen, führt das Cmdlet Compare-FIMConfig, das Unterschiede zwischen den XOML-Attributen (Extensible Object Markup Language) für WorkflowDefinitions identifiziert und die Versionsnummer des Pilotprojekts migriert. Der FIM-Produktionsdienst kann workflowaktivitäten mit der falschen Versionsnummer nicht starten.
Vermeiden von zyklischen Verweisen
Im Allgemeinen werden zyklische Verweise in einer MIM-Konfiguration nicht empfohlen. Manchmal treten jedoch Zyklen auf, wenn "Set A" auf "Set B" und "Set B" verweist, auch auf "Set A". Um Probleme mit zyklischen Verweisen zu vermeiden, sollten Sie die Definition von Set A oder Set B ändern, sodass beide nicht aufeinander verweisen. Starten Sie dann den Migrationsprozess neu. Wenn Sie zyklische Verweise haben und das cmdlet Compare-FIMConfig zu einem Fehler führt, ist es erforderlich, den Zyklus manuell zu unterbrechen. Da das cmdlet Compare-FIMConfig eine Liste von Änderungen in der Reihenfolge der Rangfolge ausgibt, muss zwischen den Verweisen von Konfigurationsobjekten keine Zyklen vorhanden sein.
Sicherheit
MIM MA-Konto
Das MIM MA-Konto gilt nicht als Dienstkonto und sollte ein reguläres Benutzerkonto sein. Die Konten müssen sich lokal anmelden können, damit das FIM-Synchronisierungsdienst-Dienstkonto diese Identität imitieren kann.
So aktivieren Sie das MIM MA-Konto für die lokale Anmeldung
Klicken Sie auf "Start", dann auf "Verwaltungstools" und dann auf "Lokale Sicherheitsrichtlinie".
Öffnen Sie den Knoten "Lokale Richtlinien", und klicken Sie dann auf "Benutzerrechtezuweisung".
Stellen Sie in der Richtlinie "Lokales Anmelden zulassen" sicher, dass das FIM MA-Konto explizit angegeben ist, oder fügen Sie es zu einer der Gruppen hinzu, denen bereits Zugriff gewährt wurde.
FIM-Synchronisierungsdienst- und FIM-Dienste-Konten
Um die Server zu konfigurieren, die die MIM-Serverkomponenten auf sichere Weise ausführen, sollten die Dienstkonten eingeschränkt werden. Legen Sie im vorherigen Verfahren zum Aktivieren des MIM MA-Kontos die folgenden Einschränkungen für die FIM-Synchronisierungsdienst- und FIM-Dienstkonten fest:
Anmeldung als Batchauftrag verweigern
Lokale Anmeldung verweigern
Zugriff vom Netzwerk auf diesen Computer verweigern
Die Dienstkonten sollten kein Mitglied der lokalen Administratorgruppe sein.
Das FIM-Synchronisierungsdienst-Dienstkonto sollte kein Mitglied der Sicherheitsgruppen sein, die zum Steuern des Zugriffs auf den FIM-Synchronisierungsdienst verwendet werden (Gruppen ab FIMSync, z. B. FIMSyncAdmins usw.).
Wichtig
Wenn Sie die Optionen für die Verwendung desselben Kontos für beide Dienstkonten auswählen und den FIM-Synchronisierungsdienst und den FIM-Synchronisierungsdienst trennen, können Sie den Zugriff auf diesen Computer nicht über das Netzwerk auf dem mms-Synchronisierungsdienstserver festlegen. Wenn der Zugriff verweigert wird, würde der FIM-Dienst verhindern, dass er den FIM-Synchronisierungsdienst kontaktiert, um die Konfiguration zu ändern und Kennwörter zu verwalten.
Die Kennwortzurücksetzung, die auf kioskähnlichen Computern bereitgestellt wird, sollte die lokale Sicherheit festlegen, um die Datei für virtuelle Speicherseiten zu löschen.
Bei der Bereitstellung der FIM-Kennwortzurücksetzung auf einer Arbeitsstation, die als Kiosk vorgesehen ist, wird empfohlen, dass die einstellung für die lokale Sicherheitsrichtlinie Shutdown: Clear virtual memory pagefile aktiviert ist, um sicherzustellen, dass vertrauliche Informationen aus dem Prozessspeicher nicht für nicht autorisierte Benutzer verfügbar sind.
Implementieren von SSL für das FIM-Portal
Es wird dringend empfohlen, ssl (Secure Sockets Layer) auf dem FIM Portal-Server zu verwenden, um den Datenverkehr zwischen den Clients und dem Server zu sichern.
So implementieren Sie SSL:
Öffnen Sie auf dem MIM-Portalserver den IIS-Manager.
Klicken Sie auf den Namen des lokalen Computers.
Klicken Sie auf Serverzertifikate.
Klicken Sie auf "Zertifikatanforderung erstellen".
Geben Sie im Textfeld "Gemeinsamer Name" den Namen des Servers ein.
Klicken Sie auf "Weiter", und klicken Sie dann auf "Weiter".
Speichern Sie die Datei an einem beliebigen Speicherort. Sie müssen in den folgenden Schritten auf diesen Speicherort zugreifen.
Navigieren sie zu https://servername/certsrv. Ersetzen Sie den Servernamen durch den Namen der serverausstellenden Zertifikate.
Klicken Sie auf "Neues Zertifikat anfordern".
Klicken Sie auf "Erweiterte Anforderung senden".
Klicken Sie auf "Zertifikatanforderung senden", indem Sie eine base64-codierte Basis verwenden.
Fügen Sie den Inhalt der Datei ein, die Sie im vorherigen Schritt gespeichert haben.
Wählen Sie in der Zertifikatvorlage den Webserver aus.
Klicken Sie auf "Absenden".
Speichern Sie das Zertifikat auf Dem Desktop.
Klicken Sie im IIS-Manager auf "Zertifizierungsanforderung abschließen".
Verweisen Sie auf den IIS-Manager auf das Zertifikat, das Sie soeben auf dem Desktop gespeichert haben.
Geben Sie für den Anzeigenamen den Namen des Servers ein.
Klicken Sie auf "Websites", und wählen Sie dann SharePoint – 80 aus.
Klicken Sie auf "Bindungen", und klicken Sie dann auf "Hinzufügen".
Wählen Sie "https" aus.
Wählen Sie für das Zertifikat denselben Namen wie der Server aus, das soeben importierte Zertifikat.
Klicken Sie auf "OK".
Entfernen Sie die HTTP-Bindung.
Klicken Sie auf SSL-Einstellungen, und überprüfen Sie dann SSL erforderlich.
Speichern Sie die Einstellungen.
Klicken Sie auf "Start", dann auf "Verwaltungstools" und dann auf "SharePoint 3.0-Zentraladministration".
Klicken Sie auf "Vorgänge", und klicken Sie dann auf "Alternative Zugriffszuordnungen".
Klicken Sie auf https://servername.
Ändern Sie https://servername in https://servername, und klicken Sie dann auf "OK".
Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "iisreset" ein, und klicken Sie dann auf "OK".
Leistung
Optimale Leistungskonfiguration:
Wenden Sie die bewährten Methoden für das SQL-Setup an, wie im Abschnitt "SQL-Setup" in diesem Dokument beschrieben.
Deaktivieren Sie die SharePoint-Indizierung auf der MIM-Portalwebsite. Weitere Informationen finden Sie im Abschnitt Deaktivieren der SharePoint-Indizierung.
Featurespezifische bewährte Methoden
Anforderungsverwaltung
Standardmäßig löscht MIM 2016 abgelaufene Systemobjekte, die abgeschlossene Anforderungen mit zugehörigen Genehmigungen, Genehmigungsantworten und Workflowinstanzen in einem Intervall von 30 Tagen umfassen. Wenn Ihre Organisation einen längeren Anforderungsverlauf benötigt, sollten Sie Anforderungen von MIM exportieren und in einer Hilfsdatenbank speichern, um sie über das 30-Tage-Fenster hinaus beizubehalten. Während das 30-Tage-Anforderungslöschfenster konfigurierbar ist, kann die Erweiterung dieses Fensters die Leistung aufgrund der zusätzlichen Objekte im System negativ beeinträchtigen.
Verwaltungsrichtlinienregeln
Verwenden des entsprechenden MPR-Typs
MIM bietet zwei Arten von MPRs, Anforderungs- und Set-Übergang:
MPR anfordern (RMPR)
- Wird verwendet, um die Zugriffssteuerungsrichtlinie (Authentifizierung, Autorisierung und Aktion) für CruD-Vorgänge (Create, Read, Update oder Delete) für Ressourcen zu definieren,
- Wird angewendet, wenn ein CRUD-Vorgang für eine Zielressource in MIM ausgegeben wird und
- Beschränkt auf die in der Regel definierten übereinstimmenden Kriterien, d. h., für die CRUD die Regel anfordert.
Festlegen von Übergangs-MPR (TMPR)
- Wird verwendet, um Richtlinien unabhängig davon zu definieren, wie das Objekt in den aktuellen Zustand eingegeben wurde, der durch den Übergangssatz dargestellt wird. Verwenden Sie TMPR, um Berechtigungsrichtlinien zu modellieren.
- Angewendet, wenn eine Ressource einen zugeordneten Satz eingibt oder verlässt, und
- Bereich für die Elemente des Satzes.
Hinweis
Weitere Informationen finden Sie unter Entwerfen von Geschäftsrichtlinienregeln.
Nur MPRs bei Bedarf aktivieren
Verwenden Sie das Prinzip der geringsten Berechtigungen, wenn Sie Ihre Konfiguration anwenden. MPRs steuern die Zugriffsrichtlinie für Ihre MIM-Bereitstellung. Aktivieren Sie nur die Features, die von den meisten Benutzern verwendet werden. Beispielsweise sollten nicht alle Benutzer MIM für die Gruppenverwaltung verwenden, sodass zugeordnete Gruppenverwaltungs-MPRs deaktiviert werden sollten. Standardmäßig wird MIM mit den meisten Nicht-Administratorberechtigungen ausgeliefert.
Duplizieren integrierter MPRs anstatt direkt zu ändern
Wenn Sie die integrierten MPRs ändern müssen, sollten Sie einen neuen MPR mit der erforderlichen Konfiguration erstellen und die integrierte MPR deaktivieren. Durch die Erstellung dieses neuen MPR wird sichergestellt, dass alle zukünftigen Änderungen an den integrierten MPRs, die über den Upgradeprozess eingeführt werden, nicht negativ auf Ihre Systemkonfiguration auswirken.
Endbenutzerberechtigungen sollten explizite Attributlisten verwenden, die auf geschäftsbezogene Benutzeranforderungen ausgelegt sind.
Die Verwendung expliziter Attributlisten trägt dazu bei, die versehentliche Gewährung von Berechtigungen für nicht privilegierte Benutzer zu verhindern, wenn Attribute zu Objekten hinzugefügt werden. Administratoren sollten explizit Zugriff auf neue Attribute gewähren müssen, anstatt den Zugriff zu entfernen.
Der Zugriff auf Daten sollte auf die geschäftlichen Anforderungen der Benutzer zugeschnitten sein. Gruppenmitglieder sollten z. B. keinen Zugriff auf das Filterattribute der Gruppe haben, in der sie Mitglied sind. Der Filter kann versehentlich Organisationsdaten anzeigen, auf die der Benutzer normalerweise keinen Zugriff hätte.
MPRs sollten effektive Berechtigungen im System widerspiegeln
Vermeiden Sie das Erteilen von Berechtigungen für Attribute, die der Benutzer niemals verwenden kann. Sie sollten z. B. keine Berechtigung zum Ändern von Kernressourcenattributen wie objectType erteilen. Trotz des MPR wird jeder Versuch, den Typ einer Ressource zu ändern, nachdem die Ressource erstellt wurde, vom System verweigert.
Leseberechtigungen sollten von "Ändern" und "Erstellen" getrennt sein, wenn explizite Attribute in MPRs verwendet werden
Beim expliziten Auflisten von Attributen in MPRs unterscheiden sich die attribute, die zum Erstellen und Ändern erforderlich sind, in der Regel von den Attributen, die für "Read" verfügbar sind. Beispielsweise kann Lesezugriff über Systemattribute wie Creator oder objectId erteilt werden, während "Create" oder "Modify" für Systemattribute nicht angegeben werden kann.
Erstellen von Berechtigungen sollte von "Berechtigungen ändern" getrennt sein, wenn explizite Attribute in Regeln verwendet werden
Der Create-Vorgang erfordert, dass der Benutzer den objectType als Teil des Vorgangs auswählt. Dieses Attribut ist ein Kernsystem-Attribut, das nach einem Create-Vorgang nicht geändert werden kann.
Verwenden einer Anforderungs-MPR für alle Attribute mit denselben Zugriffsanforderungen
Bei Attributen mit den gleichen Zugriffsanforderungen, die nicht geändert werden sollen, können Sie sie zu einer einzigen Anforderungs-MPR kombinieren, um die Effizienz zu steigern.
Vermeiden Sie uneingeschränkten Zugriff auch auf ausgewählte Prinzipalgruppen.
In MIM werden Berechtigungen als positive Assertion definiert. Da MIM keine Verweigerungsberechtigungen unterstützt, wird der uneingeschränkte Zugriff auf eine Ressource erschwert, indem alle Ausschlüsse in den Berechtigungen bereitgestellt werden. Als bewährte Methode erteilen Sie nur die erforderlichen Berechtigungen.
Verwenden von TMPRs zum Definieren benutzerdefinierter Berechtigungen
Verwenden Sie Set Transition MPRs (TMPRs) anstelle von RMPRs, um benutzerdefinierte Berechtigungen zu definieren. TMPRs bieten ein zustandsbasiertes Modell zum Zuweisen oder Entfernen von Berechtigungen basierend auf der Mitgliedschaft in den definierten Übergangssätzen oder Rollen und den zugehörigen Workflowaktivitäten. TMPRs sollten immer in Paaren definiert werden, eine für ressourcenübergängende Ressourcen und eine für ressourcenübergängende Ressourcen. Darüber hinaus sollte jeder Übergangs-MPR separate Workflows für die Bereitstellung und Aufhebung der Bereitstellungsaktivitäten enthalten.
Hinweis
Jeder Workflow für die Aufhebung der Bereitstellung sollte sicherstellen, dass das Attribut "Run On Policy Update" auf "true" festgelegt ist.
Aktivieren des letzten Übergangs in MPR
Wenn Sie ein TMPR-Paar erstellen, aktivieren Sie "Übergang in MPR festlegen" zuletzt. Mit dieser Reihenfolge wird sichergestellt, dass keine Ressource mit der Berechtigung verbleibt, wenn sie dem Satz hinzugefügt und entfernt wird, während "In MPR" aktiviert ist, aber bevor MPR aktiviert ist.
Workflows in TMPR sollten zuerst den Zielressourcenstatus überprüfen
Die Bereitstellungsworkflows sollten zuerst prüfen, ob die Zielressource bereits gemäß der Berechtigung bereitgestellt wurde. Wenn ja, dann sollte sie nichts tun.
Die Bereitstellung von Workflows sollte zuerst überprüft werden, um festzustellen, ob die Zielressource bereitgestellt wurde. Falls ja, sollte die Zielressource aufgehoben werden. Andernfalls sollte nichts ausgeführt werden.
Wählen Sie "Auf Richtlinienupdate ausführen" für TMPRs aus.
Diese Einstellung stellt sicher, dass das richtige Bereitstellungsverhalten gilt, wenn Richtlinienupdates implementiert und das RunOn-Richtlinienupdate-Flag für Aktionsworkflows verwendet werden, die den TMPRs zugeordnet sind, und dass Änderungen in den Richtliniendefinitionen die Aktionsworkflows auf neue Member des Übergangssatzes anwenden.
Vermeiden Der Zuordnung derselben Berechtigung zu zwei verschiedenen Übergangssätzen
Das Zuordnen derselben Berechtigung zu zwei verschiedenen Übergangssätzen kann zu einer unnötigen Widerrufs- und Erneutes Gewähren von Berechtigungen führen, wenn die Ressource von einer Gruppe auf die andere verschoben wird. Stellen Sie als bewährte Methode sicher, dass ein Satz alle Ressourcen enthält, die die zugeordnete Berechtigung erfordern. Dieses Verfahren stellt eine 1:1-Beziehung zwischen dem Übergangssatz und der Berechtigung sicher, die dem Workflow gewährt wird.
Verwenden einer geeigneten Abfolge von Vorgängen beim Entfernen von Berechtigungen im System
Die Reihenfolge der Schritte, die beim Entfernen von Berechtigungen im System ausgeführt werden, kann zu zwei verschiedenen betriebstechnischen Ergebnissen führen. Stellen Sie sicher, dass Sie verstehen, welche Reihenfolge für den gewünschten Effekt gilt.
So entfernen Sie eine Berechtigung aus dem System (und widerrufen sie von allen Mitgliedern, die derzeit die Berechtigung haben):
Deaktivieren Sie das T-In-MPR. Diese Änderung vermeidet neue Finanzhilfen.
Löschen Sie den T-Set-Filter, oder ändern Sie ihn so, dass der Satz leer ist. Dies führt dazu, dass alle vorhandenen Mitglieder aussteigen und die Übergangsrichtlinie anwenden, einschließlich der konfigurierten Deprovisionsworkflows, die der Berechtigung zugeordnet sind.
Deaktivieren Sie das T-Out MPR.
Um eine Berechtigung zu entfernen, aber die aktuellen Mitglieder allein zu lassen (z. B. beenden Sie die Verwendung von MIM zum Verwalten der Berechtigung):
Deaktivieren Sie das T-In-MPR. Diese Änderung vermeidet neue Finanzhilfen.
Deaktivieren Sie das T-Out MPR.
Löschen Sie den T-Set-Filter, oder ändern Sie ihn so, dass der Satz leer ist. Da der Satz nicht mehr an eine TMPR gebunden ist, werden keine Workflows für die Deprovision angewendet.
Garnituren
Bei der Anwendung der bewährten Methoden für Sets müssen Sie die Auswirkungen der Optimierungen auf die Verwaltbarkeit und leichtigkeit der zukünftigen Verwaltung berücksichtigen. Geeignete Tests im erwarteten Produktionsmaßstab sollten durchgeführt werden, um das richtige Gleichgewicht zwischen Leistung und Verwaltbarkeit zu ermitteln, bevor diese Empfehlungen angewendet werden.
Hinweis
Alle folgenden Richtlinien gelten für dynamische Gruppen und dynamische Gruppen.
Minimieren der Verwendung dynamischer Schachtelung
Dies bezieht sich auf den Filter eines Satzes, der auf das ComputedMember-Attribut eines anderen Satzes verweist. Ein häufiger Grund für das Verschachteln von Sätzen besteht darin, eine Mitgliedschaftsbedingung über viele Sätze hinweg zu duplizieren. Obwohl dieser Ansatz zu einer besseren Verwaltbarkeit der Sätze führen kann, gibt es einen Leistungskonflikt. Sie können die Leistung optimieren, indem Sie die Mitgliedschaftsbedingungen eines geschachtelten Satzes duplizieren, anstatt den Satz selbst zu verschachteln.
Es können Fälle auftreten, in denen Sie Schachtelungssätze nicht vermeiden können, um eine funktionale Anforderung zu erfüllen. Dies sind die wichtigsten Situationen, in denen Sie Sätze schachteln sollten. Um beispielsweise den Satz aller Gruppen ohne Full-Time Mitarbeiterbesitzer zu definieren, muss die Schachtelung von Sätzen wie folgt verwendet werden: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], wobei "X" die Objekt-ID der Gruppe aller Vollzeitmitarbeiter ist.
Minimieren der Verwendung negativer Bedingungen
Negative Bedingungen sind die Mitgliedschaftsbedingungen, die die folgenden Operatoren oder Funktionen nutzen: !=, not(), \< , \<=. Um die Leistung nach Möglichkeit zu optimieren, geben Sie die gewünschte Bedingung mit mehreren positiven Bedingungen und nicht als negative Bedingung an.
Minimieren der Verwendung von Mitgliedschaftsbedingungen basierend auf mehrwertigen Referenzattributen
Die Verwendung von Bedingungen basierend auf mehrwertigen Referenzattributen sollte minimiert werden, da sich eine große Anzahl dieser Sätze auf die Leistung von Vorgängen für das Attribut auswirken kann, das in der Mitgliedschaftsbedingung verwendet wird.
Zurücksetzen des Kennworts
Kioskähnliche Computer, die für die Kennwortzurücksetzung verwendet werden, sollten lokale Sicherheit festlegen, um die Datei für virtuelle Speicherseiten zu löschen.
Bei der Bereitstellung der MIM-Kennwortzurücksetzung auf einer Arbeitsstation, die als Kiosk vorgesehen ist, wird empfohlen, das Herunterfahren zu deaktivieren: Deaktivieren Sie die lokale Sicherheitsrichtlinieneinstellung für virtuelle Speicher, um sicherzustellen, dass vertrauliche Informationen aus dem Prozessspeicher nicht für nicht autorisierte Benutzer verfügbar sind.
Benutzer sollten sich immer für eine Kennwortzurücksetzung auf einem Computer registrieren, bei dem sie angemeldet sind.
Wenn ein Benutzer versucht, sich über ein Webportal für die Kennwortzurücksetzung zu registrieren, initiiert MIM immer die Registrierung im Namen des angemeldeten Benutzers, unabhängig davon, wer bei der Website angemeldet ist. Benutzer sollten sich immer für eine Kennwortzurücksetzung auf einem Computer registrieren, bei dem sie angemeldet sind.
Legen Sie den Registrierungsschlüssel "AvoidPdcOnWan" nicht auf "true" fest.
Wenn Sie MIM 2016-Kennwortzurücksetzung verwenden, legen Sie den Registrierungsschlüssel "AvoidPdcOnWan" nicht auf "true" fest.
Wenn dieser Registrierungsschlüssel auf "true" festgelegt ist, durchläuft der Benutzer sehr wahrscheinlich die Kennwortgates, hat die Kennwortzurücksetzung auf dem primären Domänencontroller (PDC) und versucht, sich anzumelden. Aufgrund dieses Registrierungsschlüssels führt der lokale Domänencontroller die sekundäre Überprüfung nicht mit dem PDC durch, weshalb die Anmeldeanforderung verweigert wird. Wenn der Benutzer genügend Zeit verweigert wird, kann er aus der Domäne gesperrt werden und muss den Support anrufen.
Protokollierung von Klartext-Kennwörtern nicht aktivieren
Es ist möglich, Klartext-Kennwörter beim Aktivieren der Diagnosedienstebenen-Ablaufverfolgung in Windows zu protokollieren.
Communication Foundation (WCF). Diese Option ist standardmäßig nicht aktiviert, und Sie werden davon abgeraten, sie in Produktionsumgebungen zu aktivieren. Diese Kennwörter sind als Klartextelemente in einer verschlüsselten SOAP-Nachricht (Simple Object Access Protocol) sichtbar, wenn sich Benutzer für die Kennwortzurücksetzung registrieren. Weitere Informationen finden Sie unter Konfigurieren der Nachrichtenprotokollierung.
Zuordnen eines Autorisierungsworkflows zum Kennwortzurücksetzungsprozess
Sie sollten keinen Autorisierungsworkflow an einen Kennwortzurücksetzungsvorgang anfügen. Die Kennwortzurücksetzung erfordert eine synchrone Antwort und Autorisierungsworkflows, die Aktivitäten wie die Genehmigungsaktivität enthalten, asynchron sind.
Zuordnen mehrerer Aktionsaktivitäten zur Kennwortzurücksetzung nicht
Sie sollten keinen Workflow anfügen, der mehr als eine Aktionsaktivität enthält, an einen Kennwortzurücksetzungsvorgang. Ein Beispielszenario wäre das Anfügen einer zweiten AD DS-Kennwortzurücksetzungsaktivität an eine MPR-Kennwortzurücksetzung. Dieses Szenario wird nicht unterstützt.
Erneute Registrierung beim Hinzufügen, Entfernen oder Ändern der Reihenfolge von Aktivitäten in einem vorhandenen Workflow erforderlich
Wählen Sie beim Hinzufügen, Entfernen oder Ändern der Reihenfolge der Authentifizierungsaktivitäten in einem vorhandenen Workflow immer die Option aus, um eine erneute Registrierung zu erfordern. Benutzer, die versuchen, sich für die Kennwortzurücksetzung zu authentifizieren, nachdem eine Aktivität einem Workflow hinzugefügt oder daraus entfernt wurde, aber bevor sie erneut registriert wurden, können unerwünschte Effekte auftreten.
Anzeigekonfiguration für Portalkonfiguration und Ressourcensteuerung
Erwägen Sie, der Benutzerprofilseite einen Datenschutzhaftungsausschluss hinzuzufügen.
In MIM werden standardmäßig einige Benutzerprofilinformationen für andere Benutzer angezeigt. Als Freundlichkeit für die Benutzer sollten Administratoren erwägen, benutzerdefinierten Text in Übereinstimmung mit den Richtlinien ihres Unternehmens zur Benutzerprofilseite hinzuzufügen. Weitere Informationen zum Hinzufügen von benutzerdefiniertem Text zu einer MIM-Portalseite finden Sie in der Einführung in Konfigurieren und Anpassen des FIM-Portals.
Schema
Personen- oder Gruppenressourcentypen nicht löschen
Obwohl die Ressourcentypen "Person" und "Group" nicht als "Core-Ressourcentypen" gekennzeichnet sind, sollten die Ressourcen selbst oder die ihnen zugewiesenen Attribute nicht gelöscht werden. Die Benutzeroberfläche (UI) im MIM-Portal erfordert, dass die Ressourcentypen "Person" und "Group" und deren Attribute vorhanden sind.
Die Kernattribute nicht ändern
Allen Ressourcentypen sind 13 Core-Attribute zugewiesen. Sie sollten deren Beziehung zu keinem Ressourcentyp ändern. Die 13 Core-Attribute sind:
CreatedTime
Schöpfer
GelöschteZeit
BESCHREIBUNG
DetectedRulesList • DisplayName
ExpectedRulesList
Ablaufzeit
Locale
MVObjectID
ObjectID
ObjectType
ResourceTime
Löschen sie die Schemaressource nicht mit einer Abhängigkeit von den Überwachungsanforderungen.
Sie sollten Ihre Schemaressourcen nicht löschen, während Sie weiterhin Überwachungsanforderungen für diese Ressourcen haben.
Bei regulären Ausdrücken wird die Groß-/Kleinschreibung nicht beachtet.
In MIM kann es hilfreich sein, bei einigen regulären Ausdrücken die Groß-/Kleinschreibung zu beachten. Sie können die Groß-/Kleinschreibung in einer Gruppe mithilfe von ?!:ignorieren. Verwenden Sie z. B. für den Mitarbeitertyp
\^(?!:contractor\|full time employee)%.
Berechnung des Member-Attributs
Das Member-Attribut, das dem Synchronisierungsmodul verfügbar gemacht wird, wird tatsächlich ComputedMembers zugeordnet. Es handelt sich um eine Kombination aus kriterienbasierten Mitgliedern und manuell ausgewählten Mitgliedern. Auch wenn Sie alle drei Attribute (Filter, ExplicitMembers und ComputedMembers) hinzufügen, tritt die dynamische Berechnung des Memberattributs nicht für andere Ressourcentypen als für Gruppe und Satz auf.
Führende und nachfolgende Leerzeichen in Zeichenfolgen werden ignoriert.
In MIM können Sie Zeichenfolgen mit führenden und nachgestellten Leerzeichen eingeben, das MIM-System ignoriert diese Leerzeichen jedoch. Wenn Sie eine Zeichenfolge mit einem führenden und nachfolgenden Leerzeichen übermitteln, ignorieren das Synchronisierungsmodul und die Webdienste diese Leerzeichen.
Leere Zeichenfolgen sind ungleich NULL
Leere Zeichenfolgen sind in dieser Version von MIM nicht gleich Null. Leere Zeichenfolgeneingabe wird als gültiger Wert angesehen. Nicht vorhanden gilt als Null.
Workflow- und Anforderungsverarbeitung
Standardworkflows, die mit MIM 2016 ausgeliefert werden, nicht löschen
Die folgenden Workflows werden mit MIM ausgeliefert und sollten nicht gelöscht werden:
Ablaufworkflow
Filterüberprüfungsworkflow für Administratoren
Filterüberprüfungsworkflow für Nichtadministratoren
Workflow für Gruppenablaufbenachrichtigungen
Gruppenüberprüfungsworkflow
Genehmigungsworkflow des Besitzers
Workflow zur Kennwortzurücksetzung
AuthN-Workflow zum Zurücksetzen von Kennwörtern
Anforderungsüberprüfung mit Besitzerautorisierung
Anforderungsüberprüfung ohne Besitzerautorisierung
Systemworkflow erforderlich für die Registrierung
Führen Sie zwei oder mehr ApprovalActivities nicht parallel aus
Sie sollten nicht zwei oder mehr ApprovalActivities parallel ausführen. Dies kann dazu führen, dass die Anforderung in der Autorisierungsphase hängen bleibt. Fügen Sie für mehrere Genehmigungen entweder eine größere Liste von Genehmigenden in die Genehmigung ein, oder sequenzieren Sie die beiden Aktivitäten wieder zurück.
Autorisierungsaktivitäten sollten miM-Ressourcendaten nicht ändern
Vermeiden Sie die Verwendung von Aktivitäten, die die MIM-Ressourcen ändern, z. B. die Funktion evaluator-Aktivität, als Teil der Workflows in Autorisierungsworkflows. Da die Anforderung während des Autorisierungspunkts der Verarbeitung nicht zugesichert wurde, können alle Änderungen, die an den Identitätsinformationen vorgenommen wurden, angewendet werden, obwohl die Anforderung möglicherweise abgelehnt wurde.
Grundlegendes zu FIM-Dienstpartitionen
Das Ziel von MIM besteht darin, Anforderungen zu verarbeiten, die von verschiedenen MIM-Clients wie dem FIM-Synchronisierungsdienst und den Self-Service-Komponenten gemäß Ihren konfigurierten Geschäftsrichtlinien initiiert werden können. Standardmäßig gehört jede FIM-Dienstinstanz zu einer logischen Gruppe, die aus einer oder mehreren FIM-Dienstinstanzen besteht, die auch als FIM-Dienstpartition bezeichnet wird. Wenn Sie nur eine FIM-Dienstinstanz für die Verarbeitung aller Anforderungen bereitgestellt haben, ist es möglich, dass Verarbeitungslatenz auftreten. Einige Vorgänge können sogar die Standardtimeoutwerte überschreiten, die für Self-Service-Vorgänge geeignet sind. FIM-Dienstpartitionen können Ihnen helfen, dieses Problem zu beheben.
Weitere Informationen finden Sie unter Grundlegendes zu FIM-Dienstpartitionen.