安装 MIM 2016:同步 Active Directory 和 MIM 服务
注意
本演练使用名为 Contoso 的公司中的示例名和值。 将其替换为你自己的。 例如:
- 域控制器名称 - mimservername
- 域名 - contoso
- 密码 - Pass@word1
默认情况下,MIM 同步服务 (Sync) 未配置任何连接器。 典型的第一步是通过 MIM 同步来使用现有的 Active Directory 帐户填充 MIM 服务数据库。 为此,你将使用 MIM 同步服务应用程序。
创建 MIM 管理代理
MIM 管理代理 (MA) 是 MIM 同步到 MIM 服务的连接器。 若要创建此连接器,请使用“创建管理代理向导”。
在配置 MIM 管理代理时,需要指定一个用户帐户。 本文档使用 MIMMA 作为此帐户的名称。
注意
用于 MIM 管理代理的帐户必须与 MIM 服务安装过程中指定的帐户相同。 若计划启用“使用 MIMSync 帐户”功能,必须使用组托管的服务帐户安装 MIM 同步服务。
创建 MIM MA
打开“同步服务管理器”。
若要打开“创建管理代理”向导,请转到“管理代理”页面,然后在“操作”菜单上单击“创建”。
在“创建管理代理”页上,提供以下设置,然后单击“下一步”。
下列管理代理:FIM 服务管理代理
名称:MIMMA
在“连接到数据库”页上,提供以下设置,然后单击“下一步”
服务器:localhost
数据库:FIMService
MIM 服务基址: http://localhost:5725
身份验证模式:Windows 集成的身份验证
用户名:mimma
密码:Pass@word
域:contoso
在“所选对象类型”页上,验证是否选择了下面列出的对象类型,然后单击“下一步”
DetectedRuleEntry
ExpectedRuleEntry
组
人员
SynchronizationRule
在“所选属性”页面上,勾选“全部显示”并验证是否选择了列出的所有属性,然后单击“下一步”。
在“配置连接器筛选”页上,单击“下一步”。
在“配置对象类型映射”页上,添加以下映射,然后单击“下一步”
- 在数据源对象类型列表中,选择Person。
- 单击添加映射,以打开“映射”对话框。
- 在Metaverse 对象类型列表中,选择person。
- 单击确定,以关闭“映射”对话框。
- 在“数据源对象类型”列表中选择“Group”。
- 单击添加映射,以打开“映射”对话框。
- 在“Metaverse 对象类型”列表中选择“group”。
- 单击确定,以关闭“映射”对话框。
在“配置属性流”页面上,如下所示创建属性流映射,然后单击“下一步”
选择“Person”作为数据源和 Metaverse 对象类型。
选择Direct作为映射类型。
对于下表中的每一行,完成这些步骤:
选择为表中该行显示的流方向。
选择为表中该行显示的数据源属性。
选择为表中该行显示的Metaverse 属性。
若要应用数据流映射,请单击新建。
数据源属性 流方向 Metaverse 属性 AccountName 导出 accountName DisplayName 导出 displayName 域 导出 域 电子邮件 导出 mail EmployeeID 导出 employeeID EmployeeType 导出 employeeType FirstName 导出 firstName LastName 导出 lastName ObjectSID 导出 objectSid 选择“Group”作为数据源类型和 Metaverse 对象类型。
选择Direct作为映射类型。
对于下表中的每一行,完成这些步骤:
选择为表中该行显示的流方向。
选择为表中该行显示的数据源属性。
选择为表中该行显示的Metaverse 属性。
若要应用数据流映射,请单击新建。
数据源属性 流方向 Metaverse 属性 AccountName 导出 accountName DisplayName 导出 displayName 域 导出 域 电子邮件 导出 mail MailNickName 导出 mailNickName 成员 导出 member ObjectSID 导出 objectSid 范围 导出 scope 类型 导出 类型 MembershipAddWorkflow 导出 membershipAddWorkflow MembershipLocked 导出 membershipLocked AccountName 导入 accountName DisplayedOwner 导入 displayedOwner DisplayName 导入 displayName MailNickName 导入 mailNickName 成员 导入 member 范围 导入 scope 类型 导入 类型 在“取消配置设置”页上,单击“下一步”
若要创建管理代理,请单击“配置扩展”页上的“完成”。
创建 AD 管理代理
Active Directory 管理代理是 AD 域服务的连接器。 若要创建此连接器,请使用“创建管理代理向导”。
若要打开“创建管理代理向导”,请单击“操作”菜单上的“创建”。
在 “创建管理代理 ”页上,提供以下设置,然后单击“ 下一步”:
- 下列管理代理:Active Directory 域服务
- 名称:ADMA
在“连接到 Active Directory 林”页上,提供以下设置,然后单击“下一步”:
- 林名称:contoso.local
- 用户名:administrator
- 密码:<帐户的密码>
- 域:contoso
在“配置目录分区”页上,提供以下设置,然后单击“下一步”:
在“选择目录分区”列表中,选择“DC=CONTOSO,DC=local”。
若要打开“选择容器”对话框,请单击“容器”。
如果想要将容器更改为只在特定容器中包含 MIM 管理对象,则单击“DC=CONTOSO,DC=local”节点,然后单击感目标容器的节点。
若要关闭“选择容器”对话框,请单击“确定”。
在“配置设置层次结构”页上,单击“下一步”。
在“选择对象类型”页上,提供以下设置,然后单击“下一步”:
- 在“对象类型”列表中,选择“用户”和“组”。
在“选择属性”页面上,勾选“全部显示”并选择以下属性,然后单击“下一步”:
- company
- displayName
- employeeID
- employeeType
- givenName
- groupType
- managedBy
- manager
- member
- objectSid
- sAMAccountName
- sAMAccountType
- sn
- unicodePwd
- userAccountControl
在“配置连接器筛选”页上,单击“下一步”。
在“配置联接和投影规则”页上,单击“下一步”。
在“配置属性流”页上,单击“下一步”。
在 “配置取消预配 ”页上,单击“ 下一步”。
在“配置扩展”页上,单击“完成”。
创建运行配置文件
创建 ADMA 和 MIMMA 连接器的运行配置文件。
创建 ADMA 连接器的运行配置文件
下表展示需要创建的用于 ADMA 连接器的 5 个运行配置文件
名称 | 类型 |
---|---|
Profile1 | 完全导入(仅阶段) |
Profile2 | 完全同步 |
Profile3 | 增量导入(仅阶段) |
Profile4 | 增量同步 |
Profile5 | 导出 |
若要创建 ADMA 连接器的运行配置文件:
打开同步Service Manager,然后在“工具”菜单上,单击“管理代理”。
在“管理代理”列表中,选择“ADMA”。
若要打开“配置运行配置文件”对话框,请单击“操作”菜单上的“配置运行配置文件”。
对表中的每一个运行配置文件,完成以下步骤:
若要打开“配置运行配置文件向导”,请单击“新建配置文件”。
在“名称”框中,键入表中的配置文件名称,然后单击“下一步”。
在“类型”列表中,选择表中的步骤类型,然后单击“下一步”。
单击“完成”以创建该运行配置文件。
若要关闭“配置运行配置文件”对话框,请单击“确定”。
创建 MIMMA 连接器的运行配置文件
下表显示与 MIMMA 连接器匹配的五个运行配置文件:
名称 | 类型 |
---|---|
Profile1 | 完全导入(仅阶段) |
Profile2 | 完全同步 |
Profile3 | 增量导入(仅阶段) |
Profile4 | 增量同步 |
Profile5 | 导出 |
若要创建 MIMMA 连接器的运行配置文件:
打开同步Service Manager,然后在“工具”菜单上,单击“管理代理”。
在 “管理代理 ”列表中,选择“ MIMMA”。
若要打开“配置运行配置文件”对话框,请单击“操作”菜单上的“配置运行配置文件”。
对表中的每一个运行配置文件,完成以下步骤:
若要打开“配置运行配置文件向导”,请单击“新建配置文件”。
在“名称”框中,键入表中的配置文件名称,然后单击“下一步”。
在“类型”列表中,选择表中的步骤类型,然后单击“下一步”。
单击“完成”以创建该运行配置文件。
若要关闭“配置运行配置文件”对话框,请单击“确定”。
配置 MIM 服务
使用 MIM 门户,你将为 MIM 服务创建 AD 用户入站同步规则。
创建 AD 用户入站同步规则:
在“MIM 门户主页”上,单击导航栏上的“管理”。
若要打开“同步规则页”,请单击“同步规则”。
若要打开“创建同步规则向导”,请单击工具栏中的“新建”。
在“常规”选项卡上,提供以下信息,然后单击“下一步”:
- 显示名称:AD 用户入站同步规则
- 数据流方向:入站
在“作用域”选项卡上,提供以下信息,然后单击“下一步”:
- Metaverse 资源类型:person
- 外部系统:ADMA
- 外部系统资源类型:user
在“关系”选项卡上,提供以下信息,然后单击“下一步”:
若要配置关系条件,从 MetaverseObject:person(属性)列表和ConnectedSystemObject:person(属性)列表中选择“ObjectSID”。
选择“在 FIM 中创建资源”。
在“入站属性流”页上,提供以下信息,然后单击“下一步”:
流规则 源 目标 规则 1 samAccountName accountName 规则 2 displayName displayName 规则 3 EmployeeType employeeType 规则 4 givenName firstName 规则 5 sn lastName 规则 6 Manager manager 规则 7 objectSID ObjectSID 规则 8 “Contoso” 域 对于此表中的每一行,执行以下步骤:
若要打开“流定义”对话框,请单击“新建属性流”。
在“源”选项卡上,选择为表中该行显示的属性。
在“目标”选项卡上,选择为表中该行显示的属性。
若要应用属性流配置,请单击“确定”。
在“摘要”选项卡上,单击“提交”。
初始化测试环境
需要执行 4 个步骤,才可使用 AD 数据测试 MIM 配置:
启用设置
打开“同步服务管理器”。
若要打开“选项”对话框,请单击“工具”菜单上的“选项”
选择“启用同步规则设置”。
若要关闭“选项”对话框,请单击“确定”。
初始化 MIMMA
在此连接器上运行完整同步周期。 完整周期包括以下运行配置文件:
- 完全导入
- 完全同步
- 导出
- 增量导入
请按照下列步骤来分别运行这 4 个运行配置文件。
打开“同步Service Manager,然后在”工具“菜单上单击”管理代理”。
在 “管理代理 ”列表中,选择“ MIMMA”。
若要打开“运行管理代理”对话框,请单击“操作”菜单上的“运行”。
对上面列出的每一个运行配置文件,完成以下步骤:
若要打开“运行管理代理”对话框,请单击“操作”菜单上的“运行”。
在“运行配置文件”列表中,选择想要运行的运行配置文件。
若要启动运行配置文件,请单击“确定”。
配置属性流优先顺序
在初始化 MIM 连接器期间,已对 metaverse 应用了配置的同步规则。
调整由此连接器提供的属性的属性流优先顺序,以确保已在 AD 中的属性可以流入 metaverse 并且稍后还可以流入 MIM 服务数据库。
初始化 ADMA
若要初始化 Active Directory 连接器,需要在该连接器上运行完全导入和完全同步。 完全导入会将现有对象从 AD 带入连接器空间。 完全同步将更新同步规则,以匹配这些 MIM 连接器。
打开“同步服务管理器”,并单击“工具”菜单中的“管理代理”。
在“管理代理”列表中,选择“ADMA”。
若要打开“运行管理代理”对话框,请单击“操作”菜单上的“运行”。
对上面列出的每一个运行配置文件,完成以下步骤:
若要打开“运行管理代理”对话框,请单击“操作”菜单上的“运行”。
在“运行配置文件”列表中,选择想要运行的运行配置文件。
若要启动运行配置文件,请单击“确定”。
填充 MIM 服务数据库
若要使用对象填充 MIM 服务数据库,需要在 MIMMA 连接器上运行同步周期。 周期包括:
- 导出
- 完全导入
- 完全同步
请按照下列步骤来分别运行这 3 个运行配置文件。
打开 Synchronization Service Manager,并单击工具菜单上的管理代理。
在管理代理列表中,选择MIMMA。
单击操作菜单上的运行,以打开“运行管理代理”对话框。
对上面列出的每一个运行配置文件,完成以下步骤:
- 单击操作菜单上的运行,以打开“运行管理代理”对话框。
- 在运行配置文件列表中,选择想要运行的运行配置文件。
- 单击确定以启动运行配置文件。