Considérations sur le déploiement pour l’implémentation de Microsoft Identity Manager avec SharePoint Server 2016
**Sapplique à :**SharePoint Server 2016
**Dernière rubrique modifiée :**2017-03-13
Résumé : Découvrez les considérations sur le déploiement de Microsoft Identity Manager (MIM) dans une batterie de serveurs SharePoint Server 2016.
Pour augmenter vos chances de réussite pour un déploiement MIM dans SharePoint Server 2016, suivez ces recommandations :
Planifiez la migration de votre environnement de test vers votre environnement de production
Planifiez, planifiez et planifiez encore. On ne le répétera jamais assez. La plupart des échecs de synchronisation peuvent être attribués à un manque de planification.
L’installation correcte du service de synchronisation MIM dans votre laboratoire de test et une planification précise de votre migration de laboratoire de test à laboratoire de production sont essentielles pour minimiser les problèmes de déploiement. Il est recommandé d’utiliser un environnement de test de petite taille, afin de ne pas perdre de temps à traiter des milliers d’objets lorsque vous testez de nouvelles règles.
Sauvegardez votre environnement de test initial
Une fois MIM installé et vos agents de gestion créés, sauvegardez la base de données de synchronisation MIM. Ensuite, vous pouvez recréer un nouvel environnement de test à tout moment en chargeant la base de données de sauvegarde.
Testez vos procédures de sauvegarde et de restauration pour MIM
Les procédures de sauvegarde régulières sont essentielles pour la protection de vos données contre les pertes accidentelles. Nous vous recommandons également vivement de tester vos procédures de sauvegarde et de restauration avant de vous retrouver dans une situation d’urgence. Pour sauvegarder et restaurer MIM, utilisez les outils de sauvegarde fournis avec le système d’exploitation Windows Server 2012 R2 et SQL Server 2014.
Installez le service de synchronisation MIM et SQL Server dans le même domaine
Pendant l’installation de la synchronisation MIM, l’accès à la base de données distante dépend des droits d’accès du compte d’ouverture de session actif que vous utilisez pour exécuter le programme d’installation. Vérifiez que le serveur exécutant le système d’exploitation Windows Server 2012 R2 qui héberge MIM et le serveur qui héberge SQL Server se trouvent dans le même domaine et que le compte que vous utilisez pour exécuter le programme d’installation dispose des droits d’accès au serveur qui héberge SQL Server.
Définissez des droits d’accès si SQL Server est installé sur un serveur distant
Si vous installez SQL Server sur un ordinateur distant, c’est-à-dire sur un ordinateur différent de celui exécutant MIM, n’oubliez pas que la stratégie pour le compte de service SQL Server permet aux utilisateurs d’accéder à cet ordinateur à partir du réseau. Si l’accès n’est pas autorisé, l’installation de MIM échouera.
Important
Si vous installez SQL Server sur un ordinateur distant et que vous autorisez l’accès au réseau à l’ordinateur distant, vous recevrez un avertissement de sécurité de la part du programme d’installation MIM. Pour ce scénario, l’avertissement peut être ignoré.
Spécifiez le port TCP/IP pour un serveur distant exécutant SQL Server
Si l’instance de SQL Server que vous spécifiez lors de l’installation de MIM se trouve sur un ordinateur distant, le programme d’installation MIM utilise le port TCP/IP par défaut. Si vous souhaitez spécifier un autre port, vous devez utiliser l’utilitaire réseau du client SQL Server (Windows\System32\cliconfg.exe) et les outils de l’utilitaire réseau SQL Server fournis avec SQL Server. Pour plus d’informations, voir la documentation en ligne de SQL Server.
Utilisez l’agent de gestion de l’exportation pour sauvegarder des agents de gestion de sauvegarde chaque fois que vous modifiez les règles de l’agent de gestion
Après avoir utilisé l’agent de gestion de l’exportation, vous pouvez utiliser la commande Import Management Agent pour importer une version spécifique de l’agent de gestion individuel. Vous pouvez également exporter et importer des agents de gestion en utilisant les commandes Export Server Configuration et Import Server Configuration, mais, en procédant ainsi, tous les agents de gestion sont importés en plus du schéma métaverse. Pour plus d’informations sur la configuration et l’importation, voir l’article sur la configuration des agents de gestion et l’importation et l’exportation d’une configuration de serveur
Renseignez l’attribut displayName dans le métaverse pour faciliter l’identification des résultats de la recherche
Lorsqu’il répertorie les objets à l’aide de recherche métaverse, MIM renvoie des résultats identifiés par l’attribut displayName. Si l’attribut displayName n’est pas renseigné, les résultats de la recherche sont identifiés par l’identificateur global unique (GUID). Pour plus d’informations sur l’utilisation de la recherche métaverse, voir l’article sur l’utilisation la recherche métaverse
Concevez vos règles de flux pour modifier l’état d’un objet
Utilisez l’état d’un objet pour déterminer l’étape suivante de la synchronisation de l’objet plutôt que d’utiliser l’événement qui a généré l’état de l’objet.
Important
Ne comptez pas sur les règles déclaratives ou les règles d’une extension de règles à évaluer dans un ordre spécifié lors de la synchronisation d’un objet. Les règles sont évaluées sans ordre particulier.
Désactivez l’approvisionnement lorsque vous migrez des sources de données connectées au métaverse pour la première fois
Lorsque vous déployez MIM pour la première fois, nous vous recommandons de migrer et d’associer toutes les sources de données connectées avant d’activer l’approvisionnement. Après avoir vérifié que tout le contenu a été correctement migré et associé, vous pouvez activer l’approvisionnement et exécuter une synchronisation complète des agents de gestion pour appliquer les règles d’approvisionnement à tous les objets connectés. Pour plus d’informations sur la façon de configurer des règles d’approvisionnement, voir l’article sur les règles d’approvisionnement
Définissez un seuil de suppression dans les étapes de votre profil d’exécution pour limiter le nombre de suppressions accidentelles
Utilisez le paramètre de seuil de suppression pour limiter le nombre de suppressions accidentelles pouvant se produire durant l’importation ou l’exportation. Le seuil de suppression arrêtera l’agent de gestion, ou l’empêchera de démarrer, lorsque la limite sera atteinte. Pour plus d’informations, voir l’article sur la configuration des agents de gestion.
Utilisez l’espace connecteur de recherche pour examiner les objets
Avec l’espace connecteur de recherche, vous pouvez rechercher des objets dans l’espace connecteur pour un agent de gestion. Vous pouvez localiser des objets par nom ou état d’erreur, ou par l’état de l’objet (c’est-à-dire, s’il est connecté, déconnecté ou en attente d’importation ou d’exportation).
Utilisez l’aperçu pour tester les synchronisations et résoudre les erreurs
Avec l’aperçu, vous pouvez lancer des synchronisations test et afficher les résultats sans valider les modifications apportées au métaverse. Vous pouvez également utiliser l’aperçu pour tester de nouvelles extensions de règles et pour résoudre des erreurs de synchronisation dues à des échecs d’association ou à des violations de schéma.
Planifiez un profil d’exécution périodique à l’aide de l’étape de synchronisation Delta pour traiter les déconnecteurs automatiquement
Les objets qui ne sont pas associés ne sont pas réévalués par l’étape de profil d’exécution de synchronisation Delta et d’importation Delta et peuvent être maintenus en tant que déconnecteurs. L’exécution d’une étape de synchronisation Delta régulièrement réévaluera et traitera ces déconnecteurs. Pour obtenir des informations supplémentaires sur l’exécution des étapes de profil, voir l’article sur la configuration des agents de gestion.
Enregistrez et videz l’histoire d’exécution de l’agent de gestion régulièrement dans les opérations
Les opérations enregistrent un historique pour chaque exécution de l’agent de gestion. Chaque historique d’exécution de l’agent de gestion est enregistré dans la base de données SQL Server et, par conséquent, la base de données peut devenir très volumineuse, ce qui aura une incidence sur les performances. L’historique d’exécution peut être enregistré à l’aide des opérations. Pour obtenir des informations supplémentaires sur l’utilisation des opérations, voir l’article sur l’utilisation des opérations.
Notes
Suppression d’exécutions en très grands nombres en même temps peut prendre beaucoup de temps. Nous vous recommandons de ne pas supprimer plus de 100 exécutions à la fois.
Utilisez plusieurs partitions dans un agent de gestion pour contrôler la synchronisation de types d’objet uniques
Pour contrôler la synchronisation de types d’objet uniques dans un agent de gestion basé sur les fichiers, créez une partition pour chaque type d’objet. Par exemple, pour synchroniser les types d’objet boîte aux lettres et groupe, créez deux partitions dans l’agent de gestion, et affectez boîte aux lettres à une partition et groupe à l’autre. Ensuite, créez un profil d’exécution d’agent de gestion pour chaque partition. Avec cette configuration, vous disposez d’un seul agent de gestion et de la possibilité de synchroniser l’un des deux ou les deux types d’objet sélectionnés. Pour plus d’informations sur l’utilisation de partitions, voir l’article sur le métaverse et l’espace connecteur
Planification de la capacité
Il existe un certain nombre de variables qui peuvent avoir une incidence sur la capacité globale et les performances du déploiement MIM.
Les performances peuvent être réduites si toutes les bases de données du système sont créées avec une taille inférieure et configurées pour évoluer automatiquement en particulier par petits incréments. Au minimum 16 Go de RAM sont requis pour les serveurs SQL, mais vous bénéficierez de plus de mémoire. Vous devez disposer d’au moins 16 cœurs d’UC sur les serveurs SQL mais plus il y aura de cœurs, plus les performances globales seront bonnes.
Enfin, il est recommandé de ne pas exécuter MIM et les bases de données SharePoint ensemble sur le même serveur.
Disponibilité élevée
La solution MIM est conçue pour être hautement disponible afin d’empêcher un point de défaillance unique. Les composants suivants doivent être pris en compte pour la disponibilité élevée :
Notes
Les informations contenues dans cette section sont uniquement des recommandations.
Service de synchronisation MIM : bien que le clustering du service de synchronisation MIM n’est pas prise en charge, un serveur de secours actif peut être déployé pour assumer la charge de travail du serveur principal en cas de défaillance. Toutefois, les défaillances matérielles ne devraient pas poser de problème étant donné que le service de synchronisation MIM fonctionnera sur une machine virtuelle hébergée sur plusieurs nœuds physiques. De plus, en cas de défaillance logicielle, la machine virtuelle qui héberge le serveur de synchronisation peut être rapidement restaurée à partir d’une sauvegarde précédente ou entièrement recréée. Une interruption de ce service n’a aucun impact sur les interactions de l’utilisateur final avec la solution. Elle retarderait uniquement l’exécution de toutes les demandes d’attribution et de suppression de privilèges d’accès. Lorsque le service est remis en ligne ces opérations seraient poursuivies sans perte de données. Le serveur de secours actif du service de synchronisation MIM sera connecté à la même base de données SQL Server que l’instance principale et devra être activé par un script si l’instance principale est arrêtée et ne peut pas être redémarrée rapidement. Notez que l’agent de gestion MIM utilisé pour synchroniser les données entre la base de données du service de synchronisation MIM et la base de données du service MIM devra pointer vers l’instance du service MIM locale.
SQL Server : un cluster SQL Server est requis par la solution MIM pour fournir la disponibilité élevée pour la couche de base de données. Le cluster MIM sera composé de deux serveurs dotés des caractéristiques détaillées dans les paragraphes précédents. Bien que les deux instances SQL soient installées sur chaque nœud SQL, seule l’une des deux instances sera active à un moment donné.
La conception prend en compte la meilleure utilisation des machines virtuelles en cluster sans surcharger chaque nœud et entraîner l’arrêt des deux nœuds en cas de basculement.
Comme les bases de données sont hébergées sur un serveur SQL distant, la connexion réseau entre les serveurs MIM et les serveurs SQL doit être de 1 Gbit. Un réseau de 100 Mbits ne fournira pas suffisamment de bande passante et entraînera la dégradation des performances de synchronisation de 20 à 30 %.
Utilisez toujours l’importation Active Directory en tant que paramètre de synchronisation dans l’administration des profils utilisateur
Si vous prévoyez d’utiliser le service de synchronisation MIM, ne le sélectionnez pas. Sélectionnez l’option Use SharePoint Active Directory Import à la place. Il existe un problème connu avec la compilation de l’audience et l’attribut Manager si l’option Enable External Identity Manager est sélectionnée.
Notes
Ce problème est corrigé dans la mise à jour publique (PU) de février 2017. Pour plus de détails, voir l’article sur la mise à jour du 21 février 2017 pour SharePoint Server 2016 (article 3141517 de la base de connaissances)
Ne basculez pas entre les types de synchronisation
Si vous basculez d’un type de synchronisation à un autre à l’aide des Configure Synchronization Settings dans l’le site Web Administration centrale de SharePoint, vous rencontrerez des problèmes : aucun objet ne s’affichera lorsqu’une importation sur l’instance du connecteur SharePoint sera démarrée et aucun résultat n’apparaîtra dans les journaux ULS.
Pour effectuer une récupération après un basculement de type, voir la section sur les étapes de récupération de l’article sur les problèmes liés au basculement entre les types de synchronisation dans le gestionnaire d’identité externes/Adimport UPA (MIM) dans SharePoint 2016
Exportation d’image à partir de SharePoint vers Active Directory
L’exportation d’image depuis SharePoint vers Active Directory n’est pas prise en charge, et vous devez donc planifier cette migration.
Aucune intégration BCS pour prendre en charge des propriétés de profil supplémentaires
Il n’existe aucune intégration de Business Connectivity Services pour prendre en charge les propriétés dans MIM. Vous pouvez configurer manuellement des connecteurs pour y parvenir.
Propriétés de profil utilisateur
De nouvelles propriétés de profil utilisateur peuvent être créées dans SharePoint Server 2016. Néanmoins, les mappages ne sont pas créés dans SharePoint, mais dans MIM.
Nom NetBIOS
Si le gestionnaire d’identités externes est activé, vous devez activer la propriété NetBIOSDomainNamesEnabled dans l’application de service d’application de profil utilisateur dès que vous la créez pour prendre en charge les scénarios dans lesquels le nom NetBIOS de votre domaine est différent du nom de domaine complet (FQDN).
Effectuez les opérations de synchronisation sur un canal sécurisé
Comme la synchronisation concerne souvent les informations d’identification personnelles, il est fortement recommandé d’exécuter les synchronisations sur un canal sécurisé comme HTTPS ou LDAPS.
See also
Overview of Microsoft Identity Manager Synchronization Service in SharePoint Server 2016