Compartir a través de


Configuración de un dominio

Microsoft Identity Manager (MIM) funciona con el dominio de Active Directory (AD). Ya debe tener instalado AD y asegúrese de que tiene un controlador de dominio en su entorno para un dominio que pueda administrar.

Este artículo le guía por los pasos necesarios para preparar el dominio para que funcione junto con MIM.

Creación de cuentas de usuario y grupos

Todos los componentes de la implementación de MIM necesitan sus propias identidades en el dominio. Esto incluye los componentes de MIM, como Service y Sync, así como SharePoint y SQL.

Nota:

En este tutorial se usan nombres y valores de ejemplo de una empresa denominada Contoso. Reemplácelos por el suyo propio. Por ejemplo:

  • Nombre del controlador de dominio: corpdc
  • Nombre de dominio: contoso
  • Nombre del servidor del servicio MIM: corpservice
  • Nombre del servidor de sincronización de MIM: corpsync
  • Nombre de SQL Server: corpsql
  • Contraseña : Pass@word1
  1. Inicie sesión en el controlador de dominio como administrador de dominio (por ejemplo, Contoso\Administrator).

  2. Cree las siguientes cuentas de usuario para los servicios MIM. Inicie PowerShell y escriba el siguiente script de PowerShell para actualizar el dominio.

    import-module activedirectory
    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL
    Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp
    Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMMA –name MIMMA
    Set-ADAccountPassword –identity MIMMA –NewPassword $sp
    Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMSync –name MIMSync
    Set-ADAccountPassword –identity MIMSync –NewPassword $sp
    Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMService –name MIMService
    Set-ADAccountPassword –identity MIMService –NewPassword $sp
    Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMSSPR –name MIMSSPR
    Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp
    Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName SharePoint –name SharePoint
    Set-ADAccountPassword –identity SharePoint –NewPassword $sp
    Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName SqlServer –name SqlServer
    Set-ADAccountPassword –identity SqlServer –NewPassword $sp
    Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
    Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
    Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMpool –name MIMpool
    Set-ADAccountPassword –identity MIMPool –NewPassword $sp
    Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1
    
  3. Cree grupos de seguridad en todos los grupos.

    New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
    New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
    New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
    New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
    New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
    Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
    Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService
    Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstall
    
  4. Adición de SPN para habilitar la autenticación Kerberos para cuentas de servicio

    setspn -S http/mim.contoso.com Contoso\mimpool
    setspn -S http/mim Contoso\mimpool
    setspn -S http/passwordreset.contoso.com Contoso\mimsspr
    setspn -S http/passwordregistration.contoso.com Contoso\mimsspr
    setspn -S FIMService/mim.contoso.com Contoso\MIMService
    setspn -S FIMService/corpservice.contoso.com Contoso\MIMService
    
  5. Durante la instalación, es necesario agregar los siguientes registros "A" de DNS para la resolución de nombres adecuada.

  • mim.contoso.com apunta a la dirección IP física de corpservice
  • passwordreset.contoso.com apunta a la dirección IP física de corpservice
  • passwordregistration.contoso.com apunta a la dirección IP física de corpservice