Hvordan Outlook Live-mappesynkronisering fungerer for Live@edu
Gjelder: Live@edu
Emnet sist endret: 2013-01-23
.gif "important") Viktig! |
|---|
| Outlook Live-katalogsynkronisering (OLSync) er synkroniseringsløsningen for Microsoft Live@edu-kunder. Hvis du kjører en skybasert e-posttjeneste med Microsoft Office 365 for virksomheter, må du bruke verktøyet Microsoft Online Services Directory Synchronization for å synkronisere katalogene. |
Outlook Live-katalogsynkronisering (OLSync) er et verktøy for katalogsynkronisering som brukes til å replikere og synkronisere brukerinformasjon mellom Active Directory Domain Services (AD DS) eller Active Directory-katalogtjenesten lokalt og Outlook Live. Målet med katalogsynkronisering er å representere én enhet på ulike identitetsdatabaser og holde informasjonen om enheten konsistent og oppdatert. I tillegg klargjør OLSync kontoer automatisk i Outlook Live basert på hvordan du har konfigurert OLSync og de lokale mottakerobjektene.
OLSync er utviklet med tanke på å forenkle den kompliserte katalogsynkroniseringsoppgaven. Før du distribuerer OLSync, trenger du en høy grad av forståelse for hvordan katalogsynkroniseringen fungerer samt enkelte basisbegreper bak støttede verktøy for identitetsadministrasjon, Microsoft Forkant Identity Manager (FIM) 2010 og Microsoft Identity Lifecycle Manager (ILM) 2007. Det finnes to versjoner av OLSync: 64-biters versjonen baserer seg påFIM-2010 som sin katalogsynkroniseringsmotor, og den 32-biters versjonen baserer seg på ILM 2007.
I tillegg må du forstå hvordan OLSync fastslår hvilke lokale mottakerobjekter som skal inkluderes i synkronisering og klargjøring. Til slutt må du forstå hvordan den spesifikke konfigurasjonen av mottakerobjektene og OLSync bestemmer den endelige synkroniserings- og klargjøringsvirkemåten for de resulterende mottakerobjektene i Outlook Live.
Hvordan vil denne kunnskapen kunne hjelpe deg?
Planlegging En bedre forståelse av hvordan OLSync virker, hjelper deg med å planlegge første distribusjon og kontoklargjøring. En grunnleggende OLSync-infrastruktur er relativt enkel å distribuere, men hvis organisasjonen vokser eller du ønsker å distribuere flere Outlook Live-domener i fremtiden, må du få en innsikt i hvordan du best planlegger for katalogsynkronisering i en mer kompleks distribusjon.
Sikkerhet Du må forstå hvilke mottakerobjekter som replikeres til Outlook Live-domenet, og hvilke implikasjoner dette har for personvernet og sikkerheten. Eksempelvis vil mottakerdata som navn, telefonnummer, tittel, kontor og annen personlig informasjon synkroniseres til og eksponeres i den delte Outlook Live-adresseboken. I tillegg må du opprette tjenestekontoer som har overordnede rettigheter, i den globale organisasjonen.
Feilsøking Når du har konfigurert OLSync, er det enkelt å kjøre og vedlikeholde løsningen. Distribusjonen avhenger imidlertid av en rekke manuelle konfigurasjoner som kan innebære at det oppstår feil. Ved å få en forståelse av hvordan OLSync fungerer er det enklere å feilsøke potensielle tilkoblings- og konfigurasjonsfeil.
I dette emnet dekker vi følgende:
Grunnleggende terminologi for identitetsadministrasjon
OLSync-filtreringslogikk
Hvordan synkroniseres hvert enkelt objekt?
Grunnleggende terminologi for identitetsadministrasjon
Siden FIM-2010 eller ILM 2007 er katalogsynkroniseringsmotoren som brukes av OLSync, er det nyttig å forstå begrepene nedenfor som er relatert til disse verktøyene.
| Begrep | Definisjon |
|---|---|
Active Directory-administrasjonsagent (ADMA) |
FIM-2010 eller ILM 2007-administrasjonsagenten fra Microsoftsom brukes til å koble til AD DS eller Active Directory. |
Tilkoblingsområde |
Et oppsamlingsområde i FIM-2010 eller ILM 2007 som inneholder representasjoner av valgte objekter og attributter i en tilkoblet datakilde, for eksempel AD DS eller Active Directory. Tilkoblingsområdet inneholder et speilbilde av den tilkoblede datakilden på et gitt tidspunkt. |
Oppføring i tilkoblingsområde |
Et objekt i FIM-2010 eller ILM 2007-tilkoblingsområdet som opprettes av data som importeres fra den tilkoblede datakilden, eller i forbindelse med klargjøring. Disse objektene inneholder attributtverdier som kan importeres eller eksporteres fra tilsvarende objekter i den tilkoblede datakilden eller metaverset. |
Outlook Live-administrasjonsagent (OLMA) |
FIM-2010 eller ILM 2007-administrasjonsagenten fra Microsoftsom brukes til å koble til Outlook Live. |
Administrasjonsagent |
En FIM-2010- eller ILM 2007-komponent som består av egenskaper, regler og regelutvidelser som bestemmer hvordan et objekt behandles. En enkeltstående administrasjonsagent kan ha én eller flere kjøreprofiler som bestemmer virkemåten til administrasjonsagenten, for eksempel hvordan og når administrasjonsagenten kjøres. Hver administrasjonsagent har et tilknyttet tilkoblingsområde. |
Metavers |
Datalageret som brukes av FIM-2010 eller ILM 2007 til å lagre aggregert identitetsinformasjon fra flere tilkoblede datakilder. Datalageret gir en samlet global og integrert visning av alle objekter. Metaverset er kjerneidentitetslageret for FIM-2010 eller ILM 2007 og refereres ofte til som metakatalogen. |
Synkronisering |
FIM-2010 eller ILM 2007-operasjonen som kopierer informasjon frem og tilbake mellom et tilkoblingsområde og metaverset, og bruker hensiktsmessige regler på dataene. Det finnes to typer import- og synkroniseringsoperasjoner: full og «delta». Fullstendig import eller synkronisering skjer i oppstarten når et nytt tilkoblingsområde er konfigurert. De påfølgende operasjonene synkroniserer bare nye eller endrede data, det vil si deltaet eller forskjellen, siden forrige synkronisering. Deltaoperasjoner er mye raskere. Fullstendige operasjoner kan imidlertid bli nødvendige senere en gang, på grunn av enkelte typer feiltilstander. FIM-2010 eller ILM 2007 ber deg om å kjøre fullstendig operasjoner dersom hvis dette kreves. Hvis du oppdaterer binærfilene som er inkludert med OLSync, eller hvis du endrer standardreglene, for eksempel ved å konfigurere egendefinerte attributtflyter, må du også kjøre en fullstendig synkroniseringssyklus. |
Øverst på siden
OLSync-filtreringslogikk
Filtrering skjer under importoperasjonen i en synkroniseringssyklus. Målet med filtrering er å fastslå hvilke mottakerobjekter i lokale AD DS eller Active Directory som skal kopieres til metaverset for synkronisering.
Når OLSync kjører, filtrerer FIM-2010 eller ILM 2007 ut objekter i rekkefølgen nedenfor. Når et objekt er filtrert ut, blir det ikke evaluert på nytt av FIM-2010 eller ILM 2007. Objektet blir heller ikke kopiert til metaverset for synkronisering.
Mottakerobjekter som ikke har nødvendige attributter FIM-2010 eller ILM 2007 leser mottakerobjektene nedenfor. Hvis noen av de nødvendige attributtene er tomme (null), filtreres mottakerobjektet ut.
Type mottakerobjekt Nødvendige attributter Postboksaktivert bruker
mail, legacyExchangeDN og proxyAddresses
E-postaktivert bruker
mail og targetAddress
Bruker (bare AD DS eller Active Directory – Microsoft Exchange er ikke installert)
mail
E-postaktivert kontakt
mail og targetAddress
Distribusjonsgruppe, dynamisk distribusjonsgruppe eller sikkerhetsgruppe
mail, proxyAddresses og mailNickName
**Mottakerobjekter der attributtet adminCount er satt til 1 **Attributtet adminCount brukes til å identifisere brukere i beskyttede administratorgrupper, for eksempel domeneadministratorer og administratorer. Hvis attributtet adminCount settes til 1 på et hvilket som helst mottakerobjekt, filtreres det ut.
**Postboksaktiverte brukerobjekter som er angitt som postboksplaner, søkepostbokser eller postbokser for konfliktløsing **Attributtet msExchRecipientTypeDetails brukes til å identifisere postbokser som er angitt som postboksplaner, søkepostbokser eller postbokser for konfliktløsing. Disse postboksaktiverte brukerne filtreres ut.
**Attributtet mail for «bare en AD DS eller Active Directory»-bruker som ikke samsvarer med klargjøringsdomenet **I et lokalt miljø der Microsoft Exchange ikke er installert, filtrerer OLSync ut alle brukerobjekter der attributtet mail ikke inneholder en SMTP-adresse som samsvarer med klargjøringsdomenet.
**Attributtet som brukes til å generere Microsoft IDen, samsvarer ikke med noen av de godkjente domenene **Den endelige gjennomgangen filtrerer ut mottakerobjekter som er konfigurert for automatisk klargjøring, men som ikke har et godkjent domenetreff i attributtet som brukes til å generere Microsoft-IDen.
Attributtet som brukes til å generere Microsoft IDen, må inneholde et domenenavn som samsvarer med ett av de godkjente domenene du har konfigurert i Outlook Live. Som beskrevet i trinn 4 ser OLSync på UPN som standard etter et treff hvis du ikke har satt parameteren MVWindowsLiveIdAttributeName til å bruke et annet attributt. I dette tilfellet samsvarer OLSync med SMTP-adressen som er lagret i attributtet du har angitt i parameteren MVWindowsLiveIdAttributeName. Uansett tilfelle filtreres mottakerobjektet ut hvis OLSync ikke finner et treff på et godkjent domene.
Øverst på siden
Hvordan synkroniseres hvert enkelt objekt?
La oss se på hvordan ulike typer mottakerobjekter synkroniseres fra det lokale domenet til Outlook Live.
Før vi beskriver hvordan hver mottakerobjekttype håndteres skal vi se på noen viktige begreper.
| Begrep | Definisjon |
|---|---|
Sikkerhetsobjekter |
Active Directory-objekter som tilordnes sikkerhets-IDer (SIDer) og kan brukes til å logge på nettverket og tilordnes tilgang til domeneressurser. |
Klargjøringsdomene |
Domenenavnet til Outlook Live-domenet som du konfigurerer med OLSync. Når du distribuerer OLSync, angir du minst ett klargjøringsdomene manuelt, for eksempel student.contoso.edu, under konfigurasjonsprosessen for FIM-2010 eller ILM 2007. Klargjøringsdomenet må være et godtatt domene i Outlook Live-distribusjonen. Hvis du vil forenkle konfigurasjonen for e-postruting mellom den lokale organisasjonen og Outlook Live, anbefaler vi at klargjøringsdomenet også er et autoritativt domene i Outlook Live-organisasjonen. Med denne konfigurasjonen vil attributtet targetAddress for den lokale e-postaktiverte brukeren peke mot det autoritative domenet i Outlook LiveOutlook Live. Derfor rutes e-post som er sendt til den lokale e-postaktiverte brukeren, til den tilsvarende Outlook Live-postboksen uten ekstra rutingskonfigurasjon lokalt. |
Godtatt domene |
Et hvilket som helst SMTP-navneområde som en Outlook Live-organisasjon sender eller mottar e-post for. OLSync bruker Outlook Live-godtatte domenedata til å bestemme hvilke typer Exchange-mottakerobjekter som skal opprettes på Outlook Live-domenet. Hvis du vil ha mer informasjon, kan du se Godtatte domener. |
Lokalt skjema |
I tillegg til det Outlook Live-godtatte domenet dikterer også Active Directory-skjemaet som kjøres lokalt, hvilke Exchange-mottakerobjekter OLSync oppretter i Outlook Live-domenet. OLSyncfølger et Active Directory-skjema der Microsoft Exchange ikke er installert. OLSync følger også Active Directory-skjemaet der Microsoft Exchange Server 2003 eller senere versjoner av Microsoft Exchange er installert. |
targetAddress-attributtet |
targetAddress-attributtet er et Active Directory-attributt for Exchange-mottakerobjekter. I et Exchange-miljø vises targetAddress-attributtet som «Ekstern adresse»-adressen og brukes til å rute e-post. |
I forbindelse med OLSync-synkronisering og -klargjøring er godtatte domener viktige. Det anbefales at alle domener i den lokale skogen representeres og konfigureres som godtatte domener i Outlook Live-distribusjonen. I tillegg bør alle brukere i den lokale skogen ha UPNer som samsvarer med et av de godtatte domenene i Outlook Live-distribusjonen. En viktig endring i den nyeste versjonen av OLSync er hvordan nye godtatte domener behandles etter at OLSync allerede er kjørt. Alt etter konfigurasjonen kan det hende at OLSync sletter eller oppretter nye mottakerobjekter i exOutlookLive hvis du legger til eller fjerner et godtatt domene.
Tenk for eksempel på en organisasjon med lokale e-postaktiverte brukere der targetAddress-attributtene ikke samsvarer med et godtatt domene i Outlook Live. Når OLSync kjøres, klargjøres eksterne kontakter i Outlook Live som svarer til de lokale e-postaktiverte brukerne. Nå legger administratoren til et godtatt domene i Outlook Live som samsvarer med targetAddress-attributtene for de e-postaktiverte brukerne. Neste gang OLSync kjøres, slettes de eksterne kontaktene som tidligere ble opprettet, og e-postaktiverte brukere opprettes i stedet.
E-postaktiverte brukerobjekter
Et e-postaktivert brukerobjekt er et Active Directory-sikkerhetsobjekt som har minst én tilknyttet SMTP-adresse. Som standard har e-postaktiverte brukerobjekter et mail-, targetAddress- og proxyAddresses-attributt. Som standard deler hvert av disse attributtene samme e-postverdi.
Når OLSync finner et e-postaktivert brukerobjekt i den lokale skogen, opprettes en av følgende tre objekttyper i den tilsvarende Outlook Live-organisasjonen, avhengig av targetAddress-attributtet til den e-postaktiverte brukeren.
**Den e-postaktiverte brukeren synkroniseres med Outlook Live som et e-postaktivert brukerobjekt **Hvis targetAddress-attributtet til den e-postaktiverte brukeren samsvarer med et klargjøringsdomene, klargjøres en Outlook Live-postboks for brukeren. Den resulterende Microsoft IDen for den klargjorte brukeren kontrolleres av parameteren MVWindowsLiveIdAttributeName. Som standard svarer Microsoft IDen til UPNet for den lokale brukeren.
**Den e-postaktiverte brukeren synkroniseres med Outlook Live som en e-postaktivert bruker **Hvis targetAddress-attributtet til den e-postaktiverte brukeren ikke samsvarer med et klargjøringsdomene, men samsvarer med et godtatt domene i Outlook Live-organisasjonen, opprettes en e-postaktivert bruker i Outlook Live. Det opprettes imidlertid ingen Microsoft ID for denne kontoen.
**Den e-postaktiverte brukeren synkroniseres med Outlook Live som en ekstern kontakt **Hvis targetAddress-attributtet til den e-postaktiverte brukeren samsvarer med verken et klargjøringsdomene eller et godtatt domene i Outlook Live-organisasjonen, opprettes en ekstern kontakt i Outlook Live. Outlook Live representerer eksterne brukere som eksterne kontakter, mens interne brukere representeres av e-postaktiverte brukere.OLSync skiller mellom interne og eksterne brukere alt etter om det tilknyttede targetAddress-attributtet svarer til et godtatt domene eller ikke.
Postboksaktiverte brukerobjekter
Et postboksaktivert brukerobjekt er et Active Directory-sikkerhetsobjekt som har Exchange-spesifikke attributter som homeMDB.
Når du kjører OLSync, synkroniseres postboksaktiverte brukerobjekter i den lokale organisasjonen med Microsoft-datasenteret som e-postaktiverte brukerobjekter eller e-postkontakter. Dette betyr at Outlook Live-adresseboken inneholder alle brukerne fra den lokale organisasjonen.
Postboksaktiverte brukerobjekter har ikke et targetAddress-attributt i Active Directory. Når OLSync kjører, leser det derfor proxyAddresses-attributtet for å finne ut hvordan objektet skal synkroniseres med Outlook Live.
Hvis attributtet proxyAddresses inneholder en primær SMTP-adresse som svarer til et godtatt domene i Outlook Live, opprettes en e-postaktivert bruker. Med hensyn til e-postruting vil targetAddress-attributtet for den tilsvarende e-postaktiverte brukeren i Outlook Live svare til den primære SMTP-adressen for den lokale e-postaktiverte brukeren.
Hvis attributtet proxyAddresses derimot ikke inneholder en primær SMTP-adresse som svarer til et godtatt domene i Outlook Live, opprettes en e-postkontakt.
E-postkontakter
En e-postkontakt er ikke et sikkerhetsobjekt. Det er et objekt som har minst én tilknyttet SMTP-adresse. Bruk e-postkontakter til å representere personer utenfor organisasjonen som har eksterne e-postadresser, og som brukerne i organisasjonen ofte sender e-post til.
Når OLSync finner et e-postkontaktobjekt i den lokale skogen, opprettes en av følgende to objekttyper i den tilsvarende Outlook Live-organisasjonen, avhengig av targetAddress-attributtet til den eksterne kontakten.
**E-postkontakten synkroniseres med Outlook Live som en ekstern kontakt **Hvis targetAddress-attributtet til e-postkontakten ikke samsvarer med et Outlook Live-godtatt domene, opprettes en ekstern kontakt i Outlook Live.
**E-postkontakten synkroniseres med Outlook Live som en e-postaktivert bruker **Hvis targetAddress-attributtet til e-postkontakten samsvarer med et godtatt domene i Outlook Live-organisasjonen, opprettes en e-postaktivert bruker i Outlook Live.
Grupper
En gruppe kan være en sikkerhetsgruppe eller en distribusjonsgruppe for e-post, som kalles en «fellesgruppe» i Outlook Live. Sikkerhetsgrupper er sikkerhetsobjekter. Du kan e-postaktivere en sikkerhetsgruppe, men det anbefales ikke.
Distribusjonsgrupper for e-post, sikkerhetsgrupper og dynamiske distribusjonsgrupper har ikke et targetAddress-attributt for sine respektive objekter i Active Directory. Når OLSync kjører, leser det derfor proxyAddresses-attributtet for å finne den primære SMTP-adressen, som på sin side bestemmer hvordan OLSync synkroniserer objektet til Outlook Live.
Hvis den primære SMTP-adressen for en gitt distribusjonsgruppe for e-post, sikkerhetsgruppe eller dynamisk distribusjonsgruppe settes til et hvilket som helst godtatt domene, synkroniseres de til Outlook Live som e-postaktiverte brukere. Grupper som har en primær SMTP-adresse som ikke samsvarer med et godtatt domene, synkroniseres til Outlook Live som eksterne e-postkontakter. I begge tilfellene eksponerer ikke grupper som synkroniseres med Outlook Live, objektene i den lokale gruppen til Outlook Live-brukere.
Rask innføring i hvordan objekter synkroniseres
Tabellen nedenfor oppsummerer hvordan objekter synkroniseres. Den første tabellen inneholder mottakerobjekter i en organisasjon som kjører MicrosoftExchange. Den andre tabellen inneholder et brukerobjekt i en Active Directory-organisasjon der MicrosoftExchange ikke er installert.
| Lokale mottakerobjektet – Microsoft Exchange lokalt | Konfigurasjon av det lokale mottakerobjektet | Synkronisert tilOutlook Live som: |
|---|---|---|
E-postaktivert bruker |
targetAddress-attributtet for det lokale mottakerobjektet settes til klargjøringsdomenet. |
Postboksaktivert bruker |
E-postaktivert bruker |
targetAddress-attributtet for det lokale mottakerobjektet settes til det godtatte domenet som ikke er et klargjøringsdomene. |
E-postaktivert bruker |
E-postaktivert bruker |
targetAddress-attributtet for det lokale mottakerobjektet settes til verken klargjøringsdomenet eller det godtatte domenet. |
Ekstern kontakt |
E-postkontakt |
targetAddress-attributtet for det lokale mottakerobjektet settes til verken klargjøringsdomenet eller det godtatte domenet. |
Ekstern kontakt |
E-postkontakt |
targetAddress-attributtet for det lokale mottakerobjektet settes til et hvilket som helst godtatt domene. |
E-postaktivert bruker |
Postboksaktivert bruker |
Den primære SMTP-adressen for det lokale mottakerobjektet settes til et hvilket som helst godtatt domene. |
E-postaktivert bruker |
Postboksaktivert bruker |
Den primære SMTP-adressen for det lokale mottakerobjektet settes ikke til et hvilket som helst godtatt domene. |
Ekstern kontakt |
Distribusjonsgruppe, dynamisk distribusjonsgruppe eller sikkerhetsgruppe |
Den primære SMTP-adressen for det lokale mottakerobjektet settes til et hvilket som helst godtatt domene. |
E-postaktivert bruker |
Distribusjonsgruppe, dynamisk distribusjonsgruppe eller sikkerhetsgruppe |
Den primære SMTP-adressen for det lokale mottakerobjektet settes til verken klargjøringsdomenet eller det godtatte domenet. |
Ekstern kontakt |
| Lokalt mottakerobjekt – bare Active Directory, ikke Microsoft Exchange lokalt | mail-attributtet for et lokalt brukerobjekt satt til: | Synkronisert tilOutlook Live som: |
|---|---|---|
Active Directory-bruker |
Klargjøringsdomene |
Postboksaktivert bruker |
Active Directory-kontakt |
|
Ikke synkronisert |
Klargjøringsdomene, targetAddress og UPN
Når du tenker på distribusjonen av OLSync og hvordan du skal klargjøre brukere, er det viktig å forstå relasjonen mellom klargjøringsdomenet, targetAddress-attributtet og userPrincipalName-attributtet. Du må gjøre klar mottakerobjektene i det lokale domenet før du distribuerer OLSync. Hvordan attributtene targetAddress og userPrincipalName angis for disse mottakerobjektene, avgjør hvordan brukerne klargjøres automatisk av OLSync.
Klargjøringsdomenet brukes av OLSync som en utløser for klargjøring. Du må angi minst ett klargjøringsdomene når du konfigurerer OLSync. Hvis parameteren for OLSync-klargjøringsdomenet omfatter et domene som samsvarer med en targetAddress-verdi for en gitt e-postaktivert bruker i AD DS eller Active Directory lokalt, utløses klargjøring.
Hvis det lokale UPN-domenenavnet for det angitte mottakerobjektet ikke samsvarer med et godtatt domene, blir som standard ikke brukeren klargjort av OLSync. Hvis derimot det lokale UPNet samsvarer med et godtatt domene i Outlook Live, blir klargjøring utført.
Når OLSync klargjør en Microsoft ID for en bruker, samsvarer som standard Microsoft IDen for den klargjorte brukeren med det lokale UPN-domenet. Den resulterende Microsoft IDen for den klargjorte brukeren kan imidlertid endres ved å angi parameteren MVWindowsLiveIdAttributeName.
Diagrammet nedenfor viser hvordan hvert mottakerobjekt kan synkroniseres.
.gif "Synkroniseringsflyt for OLSync")
Øverst på siden
Les mer
Implementere Outlook Live-katalogsynkronisering for Live@edu
Hvordan Outlook Live-mappesynkronisering fungerer for Live@edu
Planlegge distribusjonen av Outlook Live-katalogsynkronisering for Live@edu
Distribuere Outlook Live-mappesynkronisering for Live@edu
Forberede installasjon av OLSync i den lokale organisasjonen
Opprette en OLSync-tjenestekonto i Outlook Live for Live@edu
Angi de lokale organisasjonsenhetene som skal synkroniseres med Outlook Live
Configure Password Change Notification Service (PCNS) for use with OLSync for Live@edu(valgfritt)
Utføre en fullstendig OLSync-synkronisering med Outlook Live